g-docweb-display Portlet

1 - Principali interventi dell'Autorità nel 2008

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1636692] 

Relazione 2008 

Relazione 2008 - 2 luglio 2009
Parte I - Stato di attuazione del codice in materia di protezione dei dati personali

   
 

Indice generale

 

Paragrafo successivo

1. Principali interventi dell´Autorità nel 2008   [Relazione 2008 - Parte I - par. 1 (p. 3 - 29).pdfRelazione 2008 - Parte I - par. 1 (p. 3 - 29).pdf 107 Kb.]

1.1. Provvedimenti più significativi
111 Trattamenti collegati allo svolgimento di funzioni di giustizia e di sicurezza pubblica
I trattamenti di dati effettuati per lo svolgimento di funzioni di giustizia e sicurezza pubblica hanno un considerevole impatto sulle persone interessate, come risulta dagli atti adottati nel 2008 dal Garante per assicurare il rispetto dei princìpi sulla protezione dati in questi delicati settori.

Con le "Linee-guida in materia di trattamento di dati personali da parte dei consulenti tecnici e dei periti ausiliari del giudice e del pubblico ministero" (Provv. 26 giugno 2008 [doc. web n. 1534086]) è stato individuato un quadro unitario di misure e di accorgimenti relativi ai trattamenti di consulenti tecnici e periti dell´Autorità giudiziaria. Tali trattamenti devono svolgersi nel rispetto dei princìpi di liceità e qualità dei dati (art. 11 del Codice), e devono essere adottate le necessarie misure di sicurezza (artt. 31 e ss. e disciplinare tecnico Allegato B. al Codice).

Il 27 ottobre 2008 è stato sottoscritto da parte delle associazioni rappresentative dell´avvocatura e degli investigatori privati il "Codice di deontologia e di buona condotta per il trattamento di dati personali effettuato per svolgere le investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria" (adottato con Provv. 6 novembre 2008, in G.U. 24 novembre 2008, n. 275 in vigore dal 1° gennaio 2009 [doc. web n. 1565171]).

Il codice per le indagini difensive, il cui rispetto costituisce condizione essenziale per la liceità e la correttezza dei trattamenti di dati personali (art. 12, comma 3, del Codice), disciplina in particolare i tempi di conservazione delle informazioni, i rapporti con i terzi e la stampa e le modalità di trattamento dei dati personali, specie per quanto attiene all´essenzialità ed alla pertinenza dei dati trattati.

Con il provvedimento del 13 marzo 2008 sono state confermate le prescrizioni impartite l´8 maggio 2007 al Dipartimento di Pubblica sicurezza del Ministero dell´Interno sul trattamento dei dati da parte del Ced, con riferimento, in particolare, alla pertinenza e all´aggiornamento e ai tempi di conservazione dei dati, alle informazioni acquisite da soggetti pubblici, alla connessione con altre banche dati e all´esercizio dei diritti da parte degli interessati (v. Relazione 2007, p. 69).

Anche le prescrizioni impartite il 15 novembre 2007 al Tribunale ordinario di Roma, ai sensi dell´art. 160 del Codice, volte a rafforzare il livello di protezione dei dati personali trattati ai sensi dell´art. 47, comma 2, del Codice sono rimaste in gran parte inattuate (v. Relazione 2007, p. 127).

L´attuazione di tali prescrizioni dipende, in misura preponderante, da misure strutturali – oltre che dalla disponibilità delle indispensabili risorse finanziarie – di competenza del Ministero della giustizia, in relazione alle sue attribuzioni in tema di organizzazione e funzionamento dei servizi relativi alla giustizia.

Con provvedimento del 13 ottobre 2008 è stata rappresentata, pertanto, al Ministero della giustizia la necessità di fornire al Tribunale ordinario di Roma le risorse necessarie ad attuare le prescrizioni impartite con il citato provvedimento del 2007, che sono state confermate, invitando altresì il Ministero ad un tempestivo riscontro circa le determinazioni da adottare.

Di rilievo anche il provvedimento del 29 maggio 2008 [doc. web n. 1537606], relativo al trattamento dei dati nel sistema Eurodac per l´esame delle domande di asilo presentate ad uno Stato membro e in applicazione della Convenzione di Dublino (regolamento Ce n. 2725/2000). In particolare, il citato provvedimento ha ad oggetto il confronto delle impronte digitali dei richiedenti l´asilo registrate già presso l´unità centrale al fine di concorrere alla determinazione dello Stato membro competente.

Le prescrizioni impartite sono relative, tra l´altro, all´individuazione del titolare e degli eventuali responsabili del trattamento, all´informativa da fornire agli interessati, anche per consentire loro l´esercizio del diritto di accesso e degli altri diritti collegati, alle misure per garantire la sicurezza del trattamento nelle diverse operazioni compiute.

112 Trattamento dei dati di traffico telefonico e telematico
Con provvedimento del 24 luglio 2008 (G.U. 13 agosto 2008, n. 189 [doc. web n. 1538224]) è stato individuato il termine del 30 aprile 2009 entro il quale i gestori telefonici devono mettersi in regola con le prescrizioni che l´Autorità aveva già individuato nel provvedimento 17 gennaio 2008 (G.U. 5 febbraio 2008, n. 30 [doc. web n. 1482111]) per garantire elevati standard tecnologici ed organizzativi a protezione dei dati di milioni di utenti. Il provvedimento del 24 luglio reca in allegato il testo aggiornato del provvedimento del 17 gennaio 2008 (v. Relazione 2007, p. 122 ss.).

Il nuovo provvedimento si è reso necessario anche per le novità introdotte dalla Convenzione del Consiglio d´Europa sul cybercrime (ratificata dall´Italia con la l. n. 48/2008) e, soprattutto, dalla direttiva 2006/24/Ce, cd. "direttiva Frattini" (recepita con il d.lg. n. 109/2008), che ha ridotto i tempi di conservazione dei dati di traffico telefonico: due anni per il traffico telefonico e un anno per quello telematico. Nel gennaio 2008, all´epoca del primo provvedimento del Garante, i dati di traffico telefonico potevano invece essere conservati, per essere utilizzati solo in caso di indagini penali, fino ad otto anni, mentre quelli di traffico telematico fino a circa quattro anni.

Con il provvedimento del 29 aprile 2009 (in corso di pubblicazione nella Gazzetta Ufficiale [doc. web n. 1612508]), l´Autorità ha fissato al 15 dicembre 2009, limitatamente alle misure specificamente indicate, il nuovo termine per adempiere, prevedendo altresì che, entro la medesima data, tutti i titolari del trattamento interessati debbano dare conferma al Garante delle misure e degli accorgimenti adottati, attestandone l´integrale adempimento.

Il termine tiene conto anche delle istanze pervenute da Asstel e da Assoprovider, associazioni che rappresentano le società che forniscono servizi di telecomunicazioni, che hanno chiesto ampi margini di tempo per completare l´adozione delle complesse misure di sicurezza indicate nel provvedimento del luglio 2008.

113 Sicurezza e trasparenza dei dati relativi all´attività tributaria

 

L´attività tributaria presenta, da un lato, esigenze di trasparenza da ricollegare all´obbligo sancito dalla Costituzione di contribuire alle spese pubbliche in ragione della capacità contributiva, dall´altro, esigenze di sicurezza per la delicatezza e la rilevanza dei dati trattati, e in primo luogo per prevenire accessi impropri ai dati medesimi.

 

 


Anagrafe tributaria:
sicurezza e accessi

Nel 2008 entrambi i profili sono stati oggetto di provvedimenti del Garante.

Più in particolare, al termine della prima fase dell´attività ispettiva del Garante sull´Anagrafe tributaria (v. Relazione 2007, p. 49) sono stati riscontrati molti punti di criticità: mancata conoscenza del numero complessivo degli utenti che accedono al sistema informativo e della loro effettiva identità; scarsa capacità di monitoraggio su eventuali accessi anomali o utilizzi impropri di password e credenziali; inadeguate misure tecnologiche a protezione dei dati contenuti nel database.

Per porre rimedio alle carenze riscontrate e rendere il trattamento dei dati conforme alle norme sulla protezione dei dati l´Autorità ha imposto all´Agenzia delle entrate, con provvedimento del 18 settembre 2008 [doc. web n. 1549548] un´articolata serie di misure, tecnologiche ed organizzative, in particolare per innalzare i livelli di sicurezza degli accessi all´Anagrafe tributaria da parte degli enti esterni. Le misure dovranno essere adottate dall´Agenzia delle entrate entro un periodo che va da tre mesi ad un anno, a seconda della complessità degli adempimenti.

L´iniziativa va inquadrata in un più ampio programma di controllo sul sistema informativo della fiscalità, volto anche ad anticipare l´enorme lavoro di messa in sicurezza della gestione delle banche dati, tributarie e fiscali, che la realizzazione del federalismo fiscale renderà sempre più complessa e strategica.

 

L´Autorità era in precedenza intervenuta in via d´urgenza (Provv. 30 aprile 2008 [doc. web n. 1510761]) sulla pubblicazione, nel sito Internet dell´Agenzia delle entrate, dei dati relativi ai contribuenti per l´anno d´imposta 2005, decisa, senza acquisire il parere del Garante, dal Direttore dell´Agenzia delle entrate.

La forma di diffusione adottata poneva, infatti, evidenti problemi di conformità con il quadro normativo in materia. L´Autorità, il 30 aprile, ha chiesto ulteriori delucidazioni all´Agenzia, invitandola a sospendere la diffusione dei dati su Internet.

 

 

 


Pubblicazione
on-line dei dati
dei contribuenti
da parte
dell´Agenzia

delle entrate
 
Con provvedimento del 6 maggio 2008 [doc. web n. 1512255] poi, a conclusione dell´istruttoria, ha stabilito che la modalità utilizzata dall´Agenzia è stata illegittima, poiché contrastava con la disposizione secondo cui all´Agenzia spetta solo il compito di fissare annualmente le modalità di formazione degli elenchi delle dichiarazioni dei redditi, non le modalità della loro pubblicazione, che rimangono prerogativa del legislatore.
 
In seguito, la modifica dell´art. 69 del d.P.R. 29 settembre 1973, n. 600 (cfr. art. 42, d.l. 25 giugno 2008, n. 112, convertito, con modificazioni, in l. 6 agosto 2008, n. 133), ha ammesso la visione e l´estrazione di copia degli elenchi nei modi e con i limiti stabiliti dalla disciplina in materia di accesso ai documenti amministrativi, nonché da specifiche disposizioni di legge, durante l´anno di deposito degli elenchi presso i comuni e gli uffici dell´Agenzia.
 
114 Giornalismo - Dati di vittime di abusi. Accessibilità on-line di archivi storici dei quotidiani
Il delicato bilanciamento tra libertà d´informazione e diritto alla riservatezza ha impegnato il Garante nel 2008 in relazione a diversi aspetti dell´attività giornalistica.
 
In particolare con riferimento a tre episodi di violenza sessuale, l´Autorità è intervenuta (Provv. 10 luglio 2008 [doc. web n. 1536583], 2 ottobre 2008 [doc. web n. 1557470], 16 febbraio 2009 [doc. web n. 1590076]), come in precedenti occasioni (v. Relazione 2007, p. 73-74), nei confronti di testate giornalistiche che hanno violato le specifiche garanzie poste a tutela delle vittime. In particolare, oggetto dei citati interventi è stata la pubblicazione di numerosi dettagli (tra i quali iniziali di nome e cognome delle vittime, quartiere di residenza, professione dei genitori e di parenti, luoghi di villeggiatura frequentati, ecc.) la cui compresenza nel servizio giornalistico (diversamente articolata nei tre casi esaminati) era idonea a rendere identificabili le vittime stesse. Nei riguardi delle testate è stato disposto un divieto del trattamento per la violazione del principio di "essenzialità dell´informazione" (art. 137, comma 3, del Codice) e delle specifiche disposizioni a tutela dei minori (v. in particolare, art. 114, comma 6, c.p.p.; art. 7 del codice di deontologia relativo al trattamento dei dati personali nell´esercizio dell´attività giornalistica; Carta di Treviso).
 
Presentano, invece, caratteri di novità le questioni connesse alla libera disponibilità degli archivi storici on-line dei principali quotidiani.
 
Tale disponibilità ha comportato che, anche attraverso i motori di ricerca, notizie risalenti nel tempo (spesso legate alla cronaca giudiziaria) divengano facilmente rintracciabili, proiettando un´immagine negativa dei protagonisti, anche quando il tempo trascorso ha invece portato ad un loro naturale oblio.
 
Del contrasto fra le esigenze conoscitive e quelle, contrapposte, di tutela della riservatezza è significativo esempio la decisione adottata su ricorso l´11 dicembre 2008 [doc. web n. 1583162].
 
Accogliendo, seppur in parte, la domanda dell´interessato, a suo tempo coinvolto in un´inchiesta penale, l´Autorità ha voluto evitare gli effetti pregiudizievoli derivanti dalla rappresentazione istantanea e cumulativa, ottenuta con l´utilizzo di motori di ricerca, di fatti ormai risalenti. A tal fine si è ordinato all´editore di adottare ogni misura tecnicamente idonea ad evitare che le generalità del ricorrente contenute nell´articolo di un quotidiano continuino ad essere rinvenibili direttamente attraverso l´utilizzo dei motori di ricerca generalisti, ferma rimanendo la possibilità di consultare la versione integrale dell´articolo medesimo accedendo direttamente al sito web dell´editore.
 
La soluzione mira al contemperamento fra due interessi confliggenti e la sua tenuta potrà essere verificata in progresso di tempo in relazione alla molteplicità delle fattispecie concrete (in materia v. anche le decisioni adottate l´11 dicembre 2008 [doc. web n. 1582866] ed il 19 dicembre 2008 [doc. web n. 1583152]).
 
115 Iniziativa economica: profilazioni personalizzate e marketing telefonico
L´utilizzo a fini commerciali di dati personali può risultare in contrasto con la normativa in materia, sia per ragioni inerenti alla qualità dei dati trattati, sia per quanto riguarda i presupposti stessi del trattamento e, in particolare, il consenso dell´interessato. Di entrambi i profili, talora connessi, si è occupato il Garante nel 2008.
 
 

L´improprio trattamento dei dati relativi ad informazioni commerciali è stato oggetto di diversi provvedimenti del Garante, tra i quali uno – relativo al maggiore operatore del settore (Provv. 30 ottobre 2008 [doc. web n. 1570327]) ed adottato in esito ad un´approfondita istruttoria in relazione a numerosi reclami e segnalazioni degli interessati – utile a fornire indicazioni di carattere generale sull´applicazione, anche in tale materia, del principio di pertinenza dei dati (art. 11 del Codice).

 

 


Informazioni
commerciali
 
Le informazioni commerciali esprimono, seppure in forma sintetica, apprezzamenti sull´affidabilità degli operatori economici e, se non pienamente soddisfacenti, sostanziano in modo particolarmente rilevante il pregiudizio per gli interessati.
 
In sintesi, dall´attività svolta è risultato che in diversi casi il "dossier persona" relativo ad un individuo, conteneva informazioni riferibili a terzi (v. anche, infra par. 17.2.4, decisione su ricorso del 12 giugno 2008 [doc web n. 1537684] sull´arbitrario accostamento fra l´interessato ed il fallimento di una società di cui lo stesso era stato socio accomandante).
 
Anche gli elementi utilizzati per le valutazioni sintetiche sull´affidabilità commerciale degli interessati sono risultati talora riconducibili a soggetti diversi dall´interessato (ad es., riferiti anche a eventi – talora negativi – riconducibili a "imprese connesse") e perciò in contrasto con i princìpi di correttezza, pertinenza e non eccedenza, oltre che in violazione del diritto all´identità personale (artt. 2 e 11 del Codice).
 
Inoltre, è emerso che la società ha utilizzato congiuntamente (e indifferentemente), per classificare l´affidabilità degli operatori, un indice costituito da due aggettivi – nullo/basso – e che la modalità di utilizzo di tali aggettivi, che non sono sinonimi, non forniva un quadro chiaro dell´affidabilità commerciale del soggetto censito.
 
L´associazione impropria degli elementi è stata ritenuta non pertinente, anche per la possibile alterazione della proiezione sociale e professionale che può derivarne al soggetto censito e la lesione del diritto all´identità personale (art. 2 del Codice).
 
I dossier contenenti indici sull´affidabilità commerciale dei soggetti censiti sono risultati essere non – come prospettato dalla società – mere sintesi di informazioni tratte da pubblici registri, bensì autonome valutazioni, sulla base di un peso ponderato attribuito alle diverse informazioni e, come tali, dati personali autonomi, distinti dalle informazioni originarie ricavate dalle fonti pubbliche, il cui trattamento – a differenza di quello relativo a dati pubblicamente disponibili – necessita del consenso degli interessati (art. 23 del Codice) o di altro presupposto equipollente previsto dall´art. 24 del Codice.
 
Nel corso degli accertamenti è emerso, inoltre, che la società non solo trattava informazioni eccessive e non pertinenti, ma raccoglieva anche dati personali da fonti dalle quali non poteva attingere, come le liste elettorali, o addirittura le dichiarazioni dei redditi del 2005, acquisite in occasione della loro messa on-line da parte dell´Agenzia delle entrate (diffusione dichiarata dall´Autorità illegittima v. supra n. 1.1.3).
 
È stata perciò prescritta alla società l´adozione di ogni misura necessaria e idonea ad evitare l´associazione a un soggetto di informazioni al medesimo non direttamente riconducibili.
 
Il Garante ha altresì prescritto alla società di tenere distinti i casi in cui l´indice sia "basso" da quelli in cui sia "nullo" e ha inoltre vietato alla medesima, in particolare: l´utilizzo di informazioni non pertinenti agli interessati per l´elaborazione degli indici sintetici; il trattamento per le finalità dichiarate dalla società dei dati provenienti dalle liste elettorali; il trattamento dei dati relativi alle dichiarazioni dei redditi pubblicati dall´Agenzia delle entrate, con prescrizione di cancellarli.
 

L´altro profilo, riguardante il consenso degli interessati, è emerso con particolare rilievo nei provvedimenti relativi all´utilizzo di banche dati a fini di marketing telefonico, dapprima vietato dal Garante per l´assenza di consenso dell´interessato, poi consentito sino al 31 dicembre 2009 da una modifica normativa e, di conseguenza, oggetto di nuovo provvedimento dell´Autorità.

 

 


Divieto di utilizzo
di banche dati
a fini di marketing
telefonico
 
I provvedimenti inibitori del 26 giugno 2008 [doc. web nn. 154431515443261544338] sono stati emanati dopo verifiche svolte, su segnalazioni di numerosi abbonati, presso le società che hanno fornito i database. Dagli accertamenti è emerso che i dati degli utenti erano stati raccolti e ceduti a terzi senza informare gli interessati, o informandoli in maniera inadeguata, e senza un loro preventivo specifico consenso. Una delle società offriva sul proprio sito i dati di oltre quindici milioni di famiglie italiane suddivise per redditi e stili di vita, senza che gli interessati fossero stati informati o avessero dato il loro assenso alla comunicazione dei dati a terzi.
 
Da parte loro le aziende e le compagnie telefoniche che hanno acquistato i dati, utilizzandoli a fini di marketing telefonico, non si erano preoccupate di accertare, come prevede invece la disciplina sulla protezione dei dati, che gli abbonati avessero acconsentito alla comunicazione dei propri dati e al loro uso a fini commerciali.
 
Successivamente, l´art. 44, comma 1-bis del d.l. 30 dicembre 2008, n. 207, convertito, con modificazioni, in l. 27 febbraio 2009, n. 14 (G.U. 28 febbraio 2009, n. 28), ha stabilito che i dati personali presenti nelle banche dati costituite sulla base dei vecchi elenchi telefonici sono utilizzabili per fini promozionali fino al 31 dicembre 2009 da coloro che hanno creato tali banche dati precedentemente al 1° agosto 2005. Il provvedimento del 12 marzo 2009 (G.U. 20 marzo 2009, n. 66 [doc. web n. 1598808]) precisa i limiti entro i quali le società che effettuano attività promozionale, anche tramite call center, possono avvalersi della deroga.
 
Il mancato rispetto delle prescrizioni del provvedimento comporta una sanzione amministrativa che va da trentamila a centottantamila euro e che, nei casi più gravi, può raggiungere anche i trecentomila euro. In sintesi, le società devono documentare in modo adeguato che la banca dati, costituita con i numeri telefonici e gli indirizzi degli abbonati, sia stata effettivamente creata prima del 1° agosto 2005. Esse devono usare questi dati direttamente e non possono cederli a nessun titolo ad altre aziende.
 
L´eventuale contrarietà dell´abbonato ad essere nuovamente contattato deve essere registrata immediatamente dall´operatore, tenuto, se richiesto, a comunicare all´abbonato stesso il suo identificativo. I dati non possono in alcun modo essere usati per acquisire nuove informazioni o il consenso degli abbonati ad effettuare chiamate dopo la data del 31 dicembre 2009, poiché in tal modo gli effetti della temporanea deroga verrebbero a protrarsi oltre il termine previsto dal legislatore.
 
Le società che svolgono attività di marketing devono comunicare al Garante, entro quindici giorni dalla pubblicazione in Gazzetta Ufficiale del provvedimento, di essere in possesso di banche dati costituite anteriormente al 1° agosto 2005 e di volerle utilizzare per attività promozionali, chiarendo se il trattamento di dati venga effettuato anche per conto terzi.
 
116 Protezione dei dati dei lavoratori dipendenti e dei collaboratori
In questo settore gli interventi del Garante sono stati relativi principalmente alla trasparenza del trattamento, per evitare utilizzi dei dati non oggetto di informativa agli interessati, al rispetto delle forme di legge per il controllo a distanza dei lavoratori (art. 4 della l. n. 300/1970), alla qualità dei dati, perlopiù per evitare il trattamento di dati non pertinenti.
 
In termini generali, esprimendo il parere previsto dall´art. 154 del Codice (Provv. 31 marzo 2008 [doc. web n. 1504941]) sullo schema di decreto legislativo volto a dare attuazione alla legge 3 agosto 2007, n. 123, in materia di salute e sicurezza nei luoghi di lavoro, è stata evidenziata l´esigenza di verificare l´indispensabilità e la necessità dei dati da trattare, di adottare le misure di sicurezza necessarie e di salvaguardare il segreto professionale.
 
Accogliendo il reclamo di un´organizzazione sindacale (Provv. 2 aprile 2008 [doc. web. n. 1519695]) è stato bloccato – nelle more dell´espletamento delle procedure di legge – l´ulteriore trattamento dei dati dei dipendenti di una compagnia aerea, limitatamente alle informazioni connesse all´utilizzo per finalità formative di computer portatili. È, infatti, emerso che le funzioni di tracciamento e registrazione degli accessi al corso di formazione, utili al monitoraggio dell´andamento del processo formativo, erano idonee al controllo a distanza dell´attività lavorativa dei dipendenti, ciò senza l´osservanza delle procedure a tal fine richieste dall´art. 4 della l. n. 300/1970, oltre che in assenza dell´informativa agli interessati e del loro consenso.
 

Per garantire la sicurezza dei passeggeri e l´efficienza del servizio è stato consentito ad una società di trasporto pubblico, in sede di verifica preliminare (Provv. 5 giugno 2008 [doc. web n. 1531604]), l´utilizzo di sistemi di localizzazione e di registrazione di "eventi di guida", previo rispetto delle procedure previste dallo Statuto dei lavoratori.

Il sistema prevede il riconoscimento attraverso un codice identificativo cifrato del conducente del veicolo, al quale – direttamente o anche in un secondo tempo – possono essere associati tutti i dati ricavati dal sistema. Le garanzie procedurali previste dall´art. 4 della l. n. 300/1970 (accordo sindacale o autorizzazione della Direzione provinciale del lavoro) dovranno essere rispettate poiché il sistema può determinare un controllo a distanza dei lavoratori, ancorché giustificato da esigenze organizzative e produttive della società.

 

 

 


Sistemi
di localizzazione,
event data recorder

e servizi
di trasporto pubblico
 
I dati raccolti dovrebbero confluire in un database gestito dal fornitore del servizio e fruibile dall´azienda grazie ad un portale (compreso anch´esso nel progetto) al quale si accederà solamente attraverso l´utilizzo di un sistema identificativo comprensivo di userId e password.
 
Il Garante ha stabilito, inoltre, che siano fornite agli interessati informazioni dettagliate sulla natura dei dati trattati e sulle caratteristiche del sistema e che l´accesso ai dati dovrà essere consentito ai soli incaricati della società. L´Autorità ha sottolineato, infine, che le informazioni ricavate da tale sistema di localizzazione potranno essere utilizzate a fini di sicurezza e miglioramento del servizio e conservate per il tempo necessario a perseguire le finalità indicate nel provvedimento.
 

Decidendo su un reclamo, l´Autorità ha vietato a due società l´ulteriore comunicazione a terzi di dati personali relativi, tra l´altro, ad un procedimento penale a carico di una ex collaboratrice (Provv. 2 aprile 2008 [doc. web n. 1519711]), essendo stata la comunicazione effettuata in violazione dei princìpi di necessità e finalità (artt. 3 e 11, comma 1, lett. b), del Codice), oltre che in assenza della prescritta informativa. Il Garante ha rilevato che non era necessario dare notizia ai terzi del procedimento penale, essendo sufficiente comunicare l´interruzione del rapporto di collaborazione.

 

 

 


Comunicazione
a terzi di dati
relativi

a procedimenti
penali pendenti
 

Due divieti (Provv. 2 aprile 2008 [doc. web n. 1519679] e 6 novembre 2008 [doc. web n. 1573780]) sono stati emessi su istanze degli interessati, in relazione all´utilizzo per procedimenti disciplinari, sfociati in licenziamenti, di dati dei dipendenti raccolti per finalità di marketing e fidelizzazione (gli interessati, dipendenti di esercizi commerciali, "caricavano" sulla propria carta di fidelizzazione gli acquisti effettuati dalla clientela).

I dati acquisiti sono stati utilizzati anche per controllare l´esecuzione della prestazione lavorativa e l´osservanza dell´obbligo di fedeltà dei dipendenti anziché essere trattati, come sarebbe dovuto accadere in base all´informativa fornita agli interessati, nel solo ambito del programma di fidelizzazione.

Il Garante ha vietato pertanto alle due società di effettuare, nel contesto del rapporto di lavoro, ulteriori trattamenti dei dati connessi all´utilizzo della carta di fidelizzazione in violazione dei princìpi di liceità e finalità (artt. 11, comma 1, lett. a) e b), del Codice).

 

 

 


Trattamento
di dati personali
raccolti
in occasione
di programmi
di fidelizzazione
e loro utilizzo
per fini

disciplinari
nell´ambito
del rapporto
di lavoro
 
117 Adempimenti semplificati per finalità amministrative e in materia di sicurezza dei dati
L´esigenza di snellire gli adempimenti formali previsti dalla normativa, per dare maggior rilievo agli aspetti sostanziali che incidono sull´effettiva protezione dei dati degli interessati, ha portato all´adozione nel 2008 di importanti misure di semplificazione.
 

Con provvedimento del 19 giugno 2008 [doc. web n. 1526724] sono state individuate soluzioni per agevolare il trattamento dei dati nell´ordinaria attività di gestione amministrativa e contabile – in particolare nei casi in cui non sono trattati dati di carattere sensibile o giudiziario – enunciando nuove linee-guida interpretative della normativa ed individuando alcune modalità innovative per semplificare taluni adempimenti, in modo particolare per l´informativa agli interessati e il consenso.

 

 


Semplificazione
di taluni adempimenti
rispetto

a trattamenti
per finalità
amministrative
e contabili
 
In sostanza, l´Autorità ha fornito indicazioni per la redazione di un´informativa unica per il complesso dei trattamenti di dati personali a fini esclusivamente amministrativi e contabili; gli operatori potranno redigere una prima informativa breve che può rinviare a un testo più articolato, disponibile su siti Internet, reti Intranet, in bacheca o presso gli sportelli. Le associazioni di categoria sono state invitate a predisporre informative-tipo per determinati settori o categorie di trattamenti.
 
Per quanto riguarda il consenso sono stati indicati i casi in cui esso non è richiesto, ad esempio quando i trattamenti sono svolti per adempiere ad obblighi contrattuali o normativi o quando i dati provengono da registri o elenchi pubblici, o sono relativi allo svolgimento di attività economiche.

 

Con provvedimento del 27 novembre 2008 (G.U. 9 dicembre 2008, n. 287 [doc. web n. 1571218]) sono state dettate modalità più snelle per l´applicazione delle misure di sicurezza alle attività di corrente gestione amministrativa e contabile, svolte specie presso piccole e medie imprese, liberi professionisti e artigiani, senza ridurre le garanzie per i cittadini.

 

 


Semplificazione
delle misure
di sicurezza

In particolare, il provvedimento riguarda sia amministrazioni pubbliche e società private che utilizzano dati personali non sensibili o che trattano come unici dati sensibili dei dipendenti quelli relativi allo stato di salute o all´adesione a organizzazioni sindacali, sia piccole e medie imprese, liberi professionisti o artigiani che trattano dati solo per fini amministrativi e contabili.

In base al citato provvedimento, il Garante ha stabilito, tra l´altro, che le istruzioni in materia di misure minime possono essere impartite agli incaricati anche oralmente; per l´accesso ai sistemi informatici è possibile utilizzare qualsiasi sistema di autenticazione basato su un username e una password; l´username deve essere disattivato quando vengono meno le condizioni per il legittimo accesso ai dati. Con riguardo alle misure di sicurezza, i programmi volti a prevenire la vulnerabilità di strumenti elettronici (ad es., gli antivirus) devono essere aggiornati almeno annualmente e i dati possono essere salvaguardati anche attraverso il loro salvataggio almeno mensile. Sono state anche fornite alcune indicazioni per la redazione del documento programmatico per la sicurezza semplificato ed indicate procedure più snelle per chi tratta dati senza l´impiego di sistemi informatici.

 

 

Il 22 ottobre 2008 il Garante ha adottato un provvedimento (G.U. 9 dicembre 2008, n. 287 [doc. web n. 1571196]) che semplifica il modello utilizzato per effettuare le notificazioni (cfr. art. 38 del Codice, come modificato dalla l. 6 agosto 2008, di conversione, con modificazioni, del d.l. 25 giugno 2008, n. 112), ossia le dichiarazioni da fare all´Autorità quando si intende avviare un trattamento di particolari tipi di dati (genetici, biometrici, procreazione assistita, ecc.). Il provvedimento sulla notificazione non comporta l´obbligo di notificare di nuovo o modificare le notificazioni a carico di chi lo abbia già fatto.

 

 


Semplificazione
delle notificazioni

118 Prescrizioni in materia di gestione di sistemi complessi e di rottamazione di apparecchiature elettroniche

 

 

Con provvedimento del 27 novembre 2008 (G.U. 24 dicembre 2008, n. 300 [doc. web n. 1577499]) il Garante, in considerazione della particolare delicatezza delle funzioni di amministratore di sistema in una banca dati, ha fissato le regole per l´adozione, da parte di enti, amministrazioni pubbliche e società private, delle misure tecniche e organizzative che riguardano tali peculiari figure, chiamate a svolgere delicate funzioni di gestione e manutenzione di un impianto di elaborazione, che comportano spesso la concreta possibilità di accedere a tutti i dati trattati informaticamente nelle banche dati.

 

 


Amministratori
di sistema

Tali misure sono dirette a migliorare i criteri di individuazione degli amministratori di sistema, e ad agevolare la verifica sull´attività degli amministratori da parte di chi ha la titolarità delle banche dati e dei sistemi informatici, e non riguardano i trattamenti di dati effettuati a fini amministrativo-contabili, che pongono solitamente minori rischi per gli interessati.

In particolare, è prevista la registrazione degli accessi logici degli amministratori ai sistemi di elaborazione e agli archivi elettronici, da conservare per un periodo non inferiore a sei mesi. L´operato degli amministratori di sistema deve essere verificato almeno annualmente da parte dei titolari del trattamento, analogamente a quanto richiesto dal Codice relativamente ai responsabili. Gli estremi identificativi degli amministratori di sistema e l´elenco delle funzioni loro attribuite devono essere indicati in un documento disponibile in caso di accertamenti da parte del Garante.

L´Autorità, in ragione della complessità degli interventi necessari per l´adeguamento dei sistemi, su richiesta dalle associazioni degli operatori interessati ha prorogato i termini per gli adempimenti.

In particolare, dopo l´unificazione dei vari termini e il differimento al termine unico del 30 giugno 2009 (Provv. 12 febbraio 2009, in G.U. 24 febbraio 2009, n. 45 [doc. web n. 1591970]), ha avviato, con provvedimento del 21 aprile 2009 (in corso di pubblicazione in Gazzetta Ufficiale [doc. web n. 1611986]), una consultazione pubblica per "acquisire osservazioni e commenti da parte dei titolari del trattamento ai quali il provvedimento si rivolge con esclusivo riferimento a quanto prescritto al punto 2 del dispositivo del provvedimento del 27 novembre 2008".

Con provvedimento del 13 ottobre 2008 [doc. web n. 1571514] sono state indicate le misure organizzative e tecniche da adottare per garantire l´effettiva cancellazione (o la trasformazione in forma non intelligibile) dei dati personali contenuti in apparati elettrici ed elettronici, quali i personal computer, in occasione della loro dismissione (artt. 31 e ss. del Codice).

Al riguardo, è previsto che si possano incaricare soggetti tecnicamente qualificati, qualora il titolare non sia in grado di cancellare effettivamente i dati o di renderli anonimi. L´Autorità ha anche indicato ai titolari dei trattamenti alcune procedure (suscettibili di aggiornamento alla luce dell´evoluzione tecnologica) ritenute idonee a garantire che, in sede di reimpiego, riciclaggio, ovvero di smaltimento di apparecchiature elettriche ed elettroniche, siano stati effettivamente cancellati o resi anonimi i dati personali ivi memorizzati.

 
Sicurezza dei dati
personali
nella rottamazione
di apparecchiature
elettroniche
 
119 Dati genetici e sanitari, verifiche anti-doping e sperimentazioni di medicinali

 

 

Con provvedimento del 27 novembre 2008 [doc. web n. 1581365] l´Autorità ha vietato l´ulteriore trattamento di dati genetici, raccolti in segreto da un genitore e dal suo legale, per verificare l´effettiva consanguineità del figlio, senza informare l´interessato e senza il suo consenso.

 

 


Dati genetici
 
In particolare, l´Autorità ha ritenuto violati i diritti del figlio, rilevando che la raccolta e il trattamento dei dati genetici possono avvenire esclusivamente con il consenso informato dell´interessato, "manifestato previamente e per iscritto". Si può derogare all´obbligo del previo consenso per far valere o difendere un proprio diritto in sede giudiziaria, solo se l´accertamento sia assolutamente "indispensabile" e venga svolto nel rispetto delle regole fissate dal Garante. Nel caso di specie, sulla base delle dichiarazioni dello stesso legale, l´accertamento non è risultato indispensabile per tutelare in sede giudiziaria un diritto del genitore, sicché sarebbe stato necessario acquisire il consenso del figlio.

 

 

Sulle "Linee-guida in tema di fascicolo sanitario elettronico", messe a punto dal Garante con deliberazione del 5 marzo 2009 (G.U. 26 marzo 2009, n. 71 [doc. web n. 1598313]), è stata avviata una consultazione pubblica per acquisire, entro il 31 maggio 2009, osservazioni e suggerimenti da parte di cittadini, operatori del settore, associazioni di malati.

Il "Fascicolo sanitario elettronico" (Fse), già in via di sperimentazione in alcune regioni, raccoglie i dati sanitari di ogni paziente – patologie, interventi chirurgici, esami clinici, farmaci – in un documento elettronico consultabile dall´interessato e aggiornabile on-line da medici ed enti ospedalieri. In sintesi, il fascicolo sanitario elettronico dovrà essere costituito esclusivamente per finalità di prevenzione, diagnosi, cura e riabilitazione. Sarà consultabile dall´interessato e dal personale sanitario, strettamente autorizzato, solo per finalità sanitarie.

 

 

 


Linee-guida
in tema
di fascicolo
sanitario
elettronico
e di dossier

sanitario

Al paziente deve essere consentito di scegliere se far costituire o meno un fascicolo sanitario elettronico, con tutte o solo alcune informazioni sanitarie che lo riguardano. Deve essere prevista la possibilità di "oscurare" la visibilità di alcuni eventi clinici e devono essere assicurate le prestazioni del servizio sanitario nazionale anche ai pazienti che non aderiscono al Fse. L´informativa deve indicare con semplicità, in particolare, chi ha accesso ai dati, quali operazioni può compiere, e se il conferimento dei dati è obbligatorio o meno. La delicatezza dei dati trattati impone l´adozione di specifiche misure per limitare il più possibile i rischi di accesso abusivo, furto, smarrimento.

 

 

Su segnalazione presentata dall´Accpi (Associazione corridori ciclisti professionisti italiani) il Garante, con provvedimento del 13 ottobre 2008 [doc. web n. 1563970], ha stabilito che i controlli previsti dal nuovo protocollo anti-doping (basato sugli standard stabiliti dalla Agenzia mondiale anti-doping (Wada) sono leciti, ma l´informativa del Coni sui controlli effettuati al di fuori delle competizioni deve essere modificata.

 

 


Controlli
anti-doping
e dati personali
dei ciclisti

Per evitare di raccogliere dati che possono comportare indebite interferenze sulla vita privata o rivelare dati sensibili o giudiziari degli atleti o di soggetti terzi, vanno infatti specificate le informazioni personali sulla localizzazione e reperibilità giornaliera che gli atleti devono conferire. Deve, inoltre, essere chiarito se sia o meno obbligatorio fornire i dati, indicando sia le conseguenze del loro mancato conferimento, sia i destinatari, sia la circostanza che i dati stessi vengono trasmessi all´estero.

Riguardo ai luoghi di esecuzione dei controlli, il Garante ha preso atto degli impegni del Coni di introdurre nuove istruzioni operative per gli ispettori, perché sia prestata la massima attenzione al rispetto della riservatezza dell´atleta e dei terzi eventualmente presenti nel domicilio al momento del test.

 

 

 

Con provvedimento del 24 luglio 2008 (G.U. 14 agosto 2008, n. 190 [doc. web n. 1533155]) sono state adottate, anche tenendo conto delle osservazioni pervenute nel corso di una consultazione pubblica, le "Linee-guida per i trattamenti dei dati personali nelle sperimentazioni cliniche di medicinali". Le linee-guida sono volte a fornire maggiori tutele ai pazienti interessati, ridurre i tempi di conservazione dei dati e dei campioni biologici ed assicurare l´adozione di misure di sicurezza corrispondenti alla delicatezza dei dati trattati.

 

 


Sperimentazione
farmaci

Con l´introduzione di regole ad hoc l´Italia si pone all´avanguardia in Europa nella protezione della privacy in questo settore.

L´Autorità ha messo a punto un modello per informare i pazienti sul trattamento dei dati che li riguardano. Devono essere specificati la natura dei dati trattati, la circostanza che essi vengano trasmessi all´estero, l´effettivo ruolo svolto dalla casa farmaceutica sponsor e promotrice della ricerca, i soggetti ai quali i dati possono essere comunicati, l´esercizio del diritto di accesso e gli altri diritti (rettifica, aggiornamento) riconosciuti al paziente.

È stata inoltre individuata una formula per l´acquisizione del consenso dei pazienti unitamente al modello d´informativa, relativa anche ad eventuali trattamenti effettuati presso altri soggetti che, non solo in Italia, collaborano alla ricerca.

Senza tale assenso il trattamento dei dati personali è illecito.

In considerazione, infine, del fatto che le case farmaceutiche sono nella gran parte società multinazionali che hanno necessità di trasferire i dati in diversi Paesi, è stata prescritta l´adozione di elevati standard di sicurezza, soprattutto per i trasferimenti in via telematica. Obbligatorie, quindi, procedure di autenticazione per l´accesso ai dati, sistemi per la memorizzazione e l´archiviazione che prevedono, ad esempio, la cifratura e protocolli di comunicazione sicuri per la trasmissione dei dati tra i centri di sperimentazione, il database della società farmaceutica e i soggetti incaricati del monitoraggio.

Il provvedimento è stato inviato al Ministero della salute, all´Istituto superiore di sanità, all´Agenzia italiana del farmaco e alla Conferenza Stato-Regioni.

Con provvedimento del 24 luglio 2008 [doc. web n. 1544575] è stato vietato ad una multinazionale farmaceutica il trattamento illecito dei dati, erroneamente ritenuti anonimi, delle persone sottoposte ai test sui farmaci.

Alla società è stato prescritto, inoltre, di conformarsi, entro un termine piuttosto breve, alle linee-guida sopra descritte.

Sono emerse criticità anche in relazione ai trattamenti di dati effettuati dagli informatori scientifici nel corso delle visite periodiche ai medici. È stato, pertanto, vietato l´ulteriore utilizzo dei dati raccolti dalla casa farmaceutica nel corso di questa attività promozionale e prescritto alla stessa di conformarsi alla normativa in materia.

1110 Videosorveglianza
Con deliberazione del 13 maggio 2008 [doc. web n. 1523997] il Garante ha segnalato al Parlamento e al Governo l´opportunità di disciplinare alcuni aspetti del trattamento di dati personali derivante dall´installazione di impianti di videosorveglianza nei condomìni.

Da segnalazioni e quesiti pervenuti relativi al caso in cui non i singoli condomini, ma l´intero condominio intende installare tali impianti in aree comuni (quali portoni d´ingresso, androni o cortili) è emersa la contrapposizione tra l´esigenza di sicurezza delle persone e la libertà di muoversi, senza essere controllati, nel proprio domicilio e all´interno delle aree comuni.

La questione non trova regolamentazione nel codice civile del 1942, né in base ai princìpi generali appare chiaro quale sia la maggioranza necessaria per deliberare l´installazione di sistemi di videosorveglianza (se sia cioè sufficiente la sola volontà dei proprietari o se si debba tener conto anche del consenso, in particolare, dei conduttori). Al riguardo, è stato altresì rappresentato che il divieto di procurarsi indebitamente immagini relative alla vita privata che si svolge nel domicilio (art. 615-bis del c.p.) – nozione che secondo alcune decisioni giurisprudenziali può giungere fino a ricomprendere le aree comuni – potrebbe rendere necessario acquisire il consenso di un numero assai ampio di soggetti, non sempre di agevole identificazione.

Con provvedimento del 4 dicembre 2008 [doc. web n. 1576125] adottato in seguito a ispezioni disposte su segnalazione, il Garante ha ordinato ad un centro dietetico di rimuovere l´impianto di videosorveglianza (le telecamere erano collocate all´ingresso esterno, negli spogliatoi e nell´ambulatorio dove si effettuano le visite mediche) e cancellare le immagini registrate. Nel provvedimento l´Autorità ha ritenuto che la collocazione di telecamere operanti in modo continuo negli spogliatoi, benché segnalata da appositi avvisi e giustificata dalla struttura medica con riferimento a svariati furti verificatisi in passato, risultasse lesiva della riservatezza e dignità delle persone interessate.

Con deliberazione del 2 ottobre 2008 [doc. web n. 1581352] è stato vietato il trattamento dei dati relativi alla voce degli interessati connesso all´utilizzo di un sistema di videosorveglianza presente all´interno di un esercizio commerciale.

Da accertamenti svolti in seguito a segnalazioni, oltre alla non visibilità dei cartelli apposti per informare della presenza delle telecamere, è risultato altresì che una delle tre telecamere interne, collocata vicino al registratore di cassa, risultava dotata di registratore audio. L´Autorità ha ritenuto illecita la registrazione delle voci perché non conforme al principio di finalità, secondo cui il trattamento deve essere effettuato per finalità determinate, esplicite e legittime, che non risultano ricorrere nel caso esaminato. Il Garante, inoltre, ha imposto al titolare del negozio di designare quale responsabile del trattamento il soggetto che ha la manutenzione dell´impianto, disponendo fino ad allora il blocco della comunicazione delle immagini dello stesso.

1111 Utilizzo del cellulare per localizzare persone disperse
Con provvedimento del 19 dicembre 2008 [doc. web n. 1580543] il Garante ha chiarito che il Codice, nel caso vi sia la necessità di salvaguardare la vita o l´incolumità di una persona, consente alla società telefonica di comunicare senza indugio all´organismo di soccorso, anche senza il consenso dell´interessato, dati quali quelli concernenti i ponti e le celle attivate o "agganciate" dal telefono mobile della persona dispersa. La decisione ha, infatti, ad oggetto solo i dati relativi all´ubicazione diversi dai dati relativi al traffico, ossia i dati che possono essere reperiti sulla rete di comunicazione elettronica a prescindere da una comunicazione tra soggetti.

Il provvedimento riguarda il soccorso alpino, ma afferma princìpi applicabili, con le dovute cautele, anche in altri casi di soccorso. L´Autorità ha inoltre chiarito che i dati acquisiti dagli organismi di soccorso dovranno essere utilizzati solo per ricercare e soccorrere la persona dispersa.

L´Autorità ha altresì ricordato che i servizi abilitati a ricevere le chiamate di emergenza, possono comunque trattare i dati relativi all´ubicazione dei telefoni relativi a chi chiama, anche quando l´utente o l´abbonato abbiano già rifiutato o omesso di prestare il consenso (cfr. considerando 36 e art. 10, comma 1, lett. b), della direttiva 2002/58/Ce e art. 127, comma 4, del Codice).

12 rapporti con il parlamento e altre istituzioni
121 Le audizioni del Garante in Parlamento
In questo primo scorcio della XVI legislatura il Garante ha partecipato ad alcune audizioni presso commissioni della Camera e del Senato o altri organismi anche bicamerali su temi d´interesse all´esame del Parlamento, nell´ambito di indagini conoscitive o nel corso dei lavori per l´approvazione di proposte di legge aventi riflessi in materia di protezione dei dati personali.

In questo quadro si collocano, in particolare:

- il 30 gennaio 2009, presso il Comitato parlamentare per la sicurezza della Repubblica, un´audizione sulla nota vicenda della raccolta di dati effettuata nell´ambito di una inchiesta giudiziaria della procura di Catanzaro (cd. "caso Genchi");

- il 10 dicembre 2008, presso la Commissione giustizia della Camera, un´audizione sul disegno di legge del Governo e sulle proposte abbinate concernenti la riforma della disciplina delle intercettazioni di comunicazioni. Il Garante si è soffermato, in particolare, sul trattamento dei dati effettuato nell´ambito degli uffici giudiziari e sulle connesse misure di sicurezza, sulle disposizioni concernenti la videosorveglianza e l´acquisizione dei tabulati di traffico telefonico, nonché sulle disposizioni in materia di pubblicazione degli atti di indagine e sul rapporto fra diritto di cronaca e tutela dei dati personali degli interessati;

- il 22 ottobre 2008, presso la Commissione finanze della Camera, un´audizione informale sulle problematiche del settore assicurativo. In tale occasione il Garante ha condiviso l´esigenza di migliorare la perseguibilità delle frodi nel settore delle assicurazioni auto, ritenendo però non necessario istituire una nuova banca dati, ma semmai migliorare quella già esistente presso l´Isvap, utilizzando l´esperienza e l´attività fin qui svolta da tale istituto nel settore e assicurando, al tempo stesso, maggiori garanzie per gli interessati anche attraverso il potenziamento della sicurezza dei dati registrati nell´archivio;

- il 23 settembre 2008, presso la Commissione bicamerale di vigilanza sull´anagrafe tributaria, un´audizione sulle problematiche concernenti i trattamenti di dati e gli accessi a tale banca dati. Il Garante, dopo aver illustrato le problematiche derivanti in tale settore dalla riforma in materia di federalismo fiscale, si è soffermato sulle iniziative assunte dall´Autorità in relazione al trattamento dei dati registrati nell´Anagrafe tributaria. In tal senso, ha dato conto della complessa attività ispettiva svolta sul funzionamento della banca dati, all´esito della quale, con provvedimento del 18 settembre 2008 [doc. web n. 1549548], sono state imposte all´Agenzia delle entrate misure, sia tecnologiche che organizzative, per innalzare i livelli di sicurezza degli accessi all´Anagrafe da parte degli enti esterni e rendere il trattamento conforme alle norme sulla protezione dei dati;

- il 31 luglio 2008, presso la Commissione finanze e tesoro del Senato, un´audizione informale in merito ai disegni di legge relativi all´istituzione di un sistema di prevenzione delle frodi nel settore del credito al consumo. L´Autorità ha richiamato l´attenzione sull´importanza della scelta di configurare il sistema come uno "snodo tecnico" attraverso il quale il soggetto pubblico preposto provvede a riscontrare le richieste di verifica provenienti dai soggetti aderenti al sistema su dati e informazioni registrati in altre, distinte banche dati, senza inutili duplicazioni di banche dati. Il Garante ha, peraltro, evidenziato alcune criticità e, in particolare, l´esigenza: a) di individuare nella legge le specifiche finalità perseguite e i dati oggetto di verifica, circoscrivendo l´ambito applicativo dei decreti di attuazione alle modalità tecniche e alla sicurezza dei dati; b) di limitare la platea dei soggetti aderenti al sistema, in chiave di proporzionalità rispetto alle finalità del sistema antifrode; c) di affrontare il problema delle frodi nel settore assicurativo con una riflessione legislativa a parte, più completa.

122 L´Autorità e le attività di sindacato ispettivo e di indirizzo del Parlamento
Nel 2008 l´Autorità ha fornito la consueta collaborazione al Governo in riferimento ad atti di sindacato ispettivo e ad attività di indirizzo e di controllo del Parlamento riguardanti aspetti di specifico interesse in materia di protezione dei dati personali.

In particolare, sono stati forniti elementi di valutazione al Ministero dell´interno in relazione ad un´informativa urgente su un articolo di stampa riguardante il Ministro per la pubblica amministrazione e l´innovazione.

La vicenda riguardava un trattamento di dati personali effettuato in ambito giornalistico, la cui liceità e correttezza è stata valutata alla stregua della disciplina, anche comunitaria, in materia di protezione dei dati personali per l´attività giornalistica. In base a tale disciplina, ogni trattamento effettuato per tale finalità deve comunque rispettare i limiti del diritto di cronaca e, in particolare, l´essenzialità dell´informazione riguardo a fatti di interesse pubblico.

Chi esercita l´attività giornalistica, purché rispetti i predetti limiti, può effettuare un trattamento di dati personali anche senza il consenso dell´interessato e può riportare dati e informazioni relativi a circostanze o fatti resi noti direttamente dagli interessati o attraverso loro comportamenti in pubblico (art. 137 del Codice).

Il giornalista deve rispettare anche il codice di deontologia relativo al trattamento dei dati personali nell´esercizio dell´attività giornalistica, in base al quale la divulgazione di notizie è lecita "quando l´informazione, anche dettagliata, sia indispensabile in ragione dell´originalità del fatto o della relativa descrizione dei modi particolari in cui è avvenuto, nonché della qualificazione dei protagonisti" (art. 6, comma 1, codice deontologico). Inoltre, "la sfera privata delle persone note o che esercitano funzioni pubbliche deve essere rispettata se le notizie o i dati non hanno alcun rilievo sul loro ruolo o sulla loro vita pubblica" (art. 6, comma 2, codice deontologico).

123 L´attività consultiva del Garante sugli atti del Governo
Nel quadro dell´attività consultiva relativa a norme regolamentari e ad atti amministrativi suscettibili di incidere sulla protezione dei dati personali (art. 154, comma 4, del Codice), il Garante ha espresso anche nel 2008 diversi pareri i quali hanno riguardato, in particolare:

- uno schema di decreto predisposto dal Ministero dell´interno recante l´individuazione dei trattamenti effettuati da forze di polizia e altri soggetti pubblici per finalità di prevenzione e repressione di reati o di tutela dell´ordine e della pubblica sicurezza e dei rispettivi titolari, ai sensi dell´art. 53 del Codice (Parere 19 dicembre 2008 [doc. web n. 1584251]);

- uno schema di provvedimento dell´Agenzia delle entrate concernente la segnalazione di omessa comunicazione sull´imposta patrimoniale (Parere 19 dicembre 2008 [doc. web n. 1584260]);

- lo schema di "Linee-guida" sul censimento dei campi nomadi adottate dal Ministero dell´interno (Parere 17 luglio 2008 [doc. web n. 1537659]);

- uno schema di decreto predisposto dal Ministero dell´economia e delle finanze per la gestione e il rilascio della cd. "carta acquisti" a persone in condizioni di particolare disagio economico e sociale (Parere 18 settembre 2008 [doc. web n. 1553367]);

- uno schema di decreto predisposto dal Dipartimento per l´innovazione e le tecnologie della Presidenza del Consiglio dei ministri in materia di certificatori di autenticazione della Carta nazionale dei servizi (Parere 24 luglio 2008 [doc. web n. 1545983]);

- uno schema di decreto redatto dal Ministero della giustizia sul processo civile telematico (Parere 19 maggio 2008 [doc. web n. 1521729]);

- uno schema di decreto del Ministero della giustizia sui registri informatizzati delle cancellerie e di altri uffici giudiziari (Parere 19 maggio 2008 [doc. web n. 1521788]);

- uno schema di decreto predisposto dal Ministero dello sviluppo economico concernente la disciplina del diritto di accesso dei contraenti e dei danneggiati agli atti delle imprese di assicurazione di veicoli a motore e natanti, ai sensi dell´art. 146 del codice delle assicurazioni (Parere 30 aprile 2008 [doc. web n. 1514729]);

- uno schema di regolamento predisposto dal Ministero della difesa recante modifiche al d.m. 28 dicembre 1991 n. 96, in materia di iscrizione al registro nazionale delle imprese operanti su materiali d´armamento (Parere 24 aprile 2008 [doc. web n. 1514260]);

- uno schema di d.P.C.M. in materia di firme digitali (Parere 15 aprile 2008 [doc. web n. 1519647]);

- uno schema di decreto predisposto dal Ministero dell´università e della ricerca riguardante le modalità delle prove di ammissione a corsi di laurea per l´anno accademico 2008/2009 (Parere 10 aprile 2008 [doc. web n. 1519655]);

- uno schema di d.P.R. predisposto dal Ministero della difesa in materia di documenti caratteristici di alcune categorie di personale militare (Parere 2 aprile 2008 [doc. web n. 1519667]);

- uno schema di regolamento predisposto dal Ministero dell´economia e delle finanze in materia di bilancio delle fondazioni bancarie (Parere 20 marzo 2008 [doc. web n. 1502866]);

- uno schema di decreto predisposto dalla Presidenza del Consiglio dei ministri recante regole tecniche per il formato elettronico degli atti da presentare al registro delle imprese (Parere 20 marzo 2008 [doc. web n. 1519563]);

- uno schema di d.P.C.M. predisposto dal Ministero della solidarietà sociale sulla determinazione delle modalità di inserimento negli elenchi dei beneficiari del 5 per mille per il 2008 (Parere 13 marzo 2008 [doc. web n. 1500816]);

- uno schema di d.P.C.M. sull´accesso degli Organismi di informazione per la sicurezza agli archivi informatici della pubbliche amministrazioni, ai sensi dell´art. 13 della legge di riforma del sistema di informazione per la sicurezza della Repubblica 3 agosto 2007 n. 124 (Parere 13 marzo 2008);

- uno schema di decreto predisposto dalla Presidenza del Consiglio dei ministri attuativo dell´articolo 9 del decreto-legge 21 gennaio 2007 n. 7, convertito in legge n. 40/2007, sull´individuazione delle regole tecniche per le modalità di presentazione della comunicazione unica per la nascita dell´impresa (Parere 13 marzo 2008 [doc. web n. 1500799]);

- uno schema di d.P.C.M. riguardante lo sportello unico doganale (Parere 28 febbraio 2008 [doc. web n. 1523079]);

- uno schema di d.P.C.M. predisposto dal Ministero della solidarietà sociale sulla determinazione delle modalità di inserimento negli elenchi dei beneficiari del 5 per mille delle associazioni sportive dilettantistiche in possesso del riconoscimento ai fini sportivi rilasciato dal Coni (Parere 21 febbraio 2008 [doc. web n. 1497596]);

- uno schema di decreto predisposto dal Ministero dell´Università e della ricerca riguardante le pre-iscrizioni universitarie per l´anno accademico 2008/2009 (Parere 31 gennaio 2008 [doc. web n. 1489926]);

- uno schema di decreto di modifica del d.P.R. 13 febbraio 1967, n. 429 recante il regolamento in materia di documenti caratteristici degli ufficiali, dei sottufficiali e dei militari di truppa della Guardia di finanza (Parere 10 gennaio 2008 [doc. web n. 1484662]).

A fronte dei diversi pareri sopra menzionati, continuano tuttavia a registrarsi casi di mancata consultazione dell´Autorità, fra i quali in particolare:

- il decreto del Ministero dell´economia e delle finanze 22 settembre 2008 (G.U. 3 novembre 2008, n. 257), recante l´abrogazione della deliberazione 3 maggio 1999, concernente l´istituzione di un separato archivio accentrato per la rilevazione dei rischi di importo contenuto ed il suo affidamento in gestione alla società interbancaria per l´automazione;

- il provvedimento della Conferenza permanente per i rapporti fra lo Stato, le Regioni e le Province autonome di Trento e Bolzano 18 settembre 2008 (G.U. 8 ottobre 2008, n. 236), contenente Accordo fra Stato, Regioni e Province autonome sul documento recante procedure per gli accertamenti sanitari di assenza di tossicodipendenza o di assunzione di sostanze stupefacenti o psicotrope in lavoratori addetti a mansioni che comportano particolari rischi per la sicurezza, l´incolumità e la salute di terzi;

- il decreto del Ministero del lavoro, della salute e delle politiche sociali 9 luglio 2008 (G.U. 18 agosto 2008, n. 192), recante le modalità di tenuta e conservazione del libro unico del lavoro e disciplina del relativo regime transitorio;

- il provvedimento dell´Agenzia del territorio 16 aprile 2008 (G.U. 23 aprile 2008, n. 96), recante determinazione delle modalità dirette a garantire ai comuni, anche in forma associata o attraverso la comunità montane e le unioni di comuni, l´accessibilità e l´interoperabilità applicativa per la gestione della banca dati catastale;

- il decreto del Ministero dell´economia e delle finanze 4 aprile 2008 (G.U. 22 aprile 2008, n. 101), recante modifica del decreto ministeriale 24 giugno 2004, attuativo del comma 4 dell´art. 50 della legge n. 326 del 2003 (progetto tessera sanitaria), concernente i parametri tecnici per la trasmissione telematica dell´associazione medico-ricettario da parte delle ASL/AO;

- il d.P.C.M. 1° aprile 2008 (G.U. 21 giugno 2008, n. 144), recante regole tecniche e di sicurezza per il funzionamento del sistema pubblico di connettività previste dall´art. 71, comma 1-bis, del codice dell´amministrazione digitale (d.lg. 7 marzo 2005, n. 82);

- il decreto del Ministro della salute 31 marzo 2008 (G.U. 28 luglio 2008, n. 175) recante istituzione del sistema di sorveglianza delle nuove diagnosi di infezioni da Hiv;

- il d.P.C.M. 26 marzo 2008 (G.U. 28 maggio 2008, n. 124), in materia di regole tecniche e trasmissione dati di natura sanitaria, nell´ambito del sistema pubblico di connettività (art. 1, comma 810, lett. c), l. 27 dicembre 2006, n. 296);

- il decreto del Ministero dell´economia e delle finanze 18 marzo 2008 (G.U. 11 aprile 2008, n. 86 S.O. n. 89), recante revisione del decreto ministeriale 27 luglio 2005, attuativo del comma 5 dell´art. 50 della legge n. 326 del 2003 (progetto tessera sanitaria), concernente i parametri tecnici per la trasmissione telematica delle ricette;

- il decreto del Ministro dell´economia e delle finanze 17 marzo 2008 (G.U. 11 aprile 2008, n. 86 S.O. n. 89), recante revisione del decreto ministeriale 18 maggio 2004, attuativo del comma 2 dell´art. 50 della legge n. 326 del 2003 (progetto tessera sanitaria), concernente il modello di ricettario medico a carico del Servizio sanitario nazionale;

- il decreto del Ministro della salute 11 marzo 2008 (G.U. 4 aprile 2008, n. 80), recante integrazione del decreto 8 aprile 2000 sulla ricezione delle dichiarazioni di volontà dei cittadini circa la donazione di organi a scopo di trapianto;

- il provvedimento dell´Agenzia delle Entrate n. 2008/31934 del 29 febbraio 2008 (pubblicato sul sito Internet dell´Agenzia dell´Entrate il 5 marzo 2008), recante disposizioni integrative del provvedimento del 19 gennaio 2007 in materia di comunicazione dell´esistenza di operazioni di natura finanziaria al di fuori di un rapporto continuativo (art. 7, comma 6, del d.P.R. 29 settembre 1973, n. 605, come modificato dall´art. 63, comma 1, del d. lg. 21 novembre 2007, n. 231);

- il decreto del Ministro delle comunicazioni 22 gennaio 2008 (G.U. 10 marzo 2008, n. 59 S.O. n. 55), concernente il numero unico di emergenza europeo 112;

- il decreto del Ministro dell´economia e delle finanze 7 gennaio 2008 (G.U. 31 gennaio 2008, n. 26), recante autorizzazione alla Banca d´Italia a chiedere ad operatori residenti, ad amministrazioni, enti e organismi pubblici l´invio anche periodico di informazioni e dati concernenti la bilancia dei pagamenti.

124 Altri pareri
Su espressa richiesta, il Garante ha espresso parere anche su altri atti normativi del Governo e, in particolare, sui seguenti provvedimenti:

- uno schema di decreto legislativo in materia di ricongiungimenti familiari e prelievo del Dna (Parere 5 giugno 2008 [doc. web n. 1526943]);

- uno schema di decreto legislativo volto a dare attuazione alla legge 3 agosto 2007, n. 123 in materia di salute e sicurezza nei luoghi di lavoro (Parere 31 marzo 2008 [doc. web n. 1504941]);

- uno schema di decreto legislativo per l´attuazione della direttiva 2006/24/Ce riguardante la conservazione di dati di traffico trattati nell´ambito della fornitura di servizi di comunicazione elettronica (Parere 5 marzo 2008 [doc. web n. 1523089]);

- uno schema di decreto legislativo recante norma di attuazione in materia di dichiarazione di appartenenza o aggregazione al gruppo linguistico in provincia di Bolzano (Parere 10 gennaio 2008 [doc. web n. 1484669]).

Scheda

Doc-Web
1636692

Tipologia

Relazione annuale

Documenti citati