Diritti interna

Doveri interna

ricerca avanzata

Titolare, responsabile, incaricato - Precisazioni sulla figura del 'titolare' - 9 dicembre 1997 [39785]

[doc. web. n. 39785]

Titolare, responsabile, incaricato - Precisazioni sulla figura del ´titolare´ - 9 dicembre 1997

Il Garante, in relazione ad una circolare del Ministero delle finanze, richiama l´attenzione sulla necessità di individuare in maniera più corretta la figura del titolare del trattamento.



Roma, 9 dicembre 1997


Ministero delle finanze
Segretariato generale
Ufficio Centrale per la programmazione e il
coordinamento delle attività di informatica
Divisione I

e p.c. Autorità per l´informatica nella
pubblica amministrazione
Via Po, 14
Roma

OGGETTO: Circolare n. 291/S del 13 novembre 1997 recante direttive in materia di protezione dei dati personali. Rif. nota n. 14/97/MAN.

Con la circolare in oggetto, inviata per conoscenza anche a questa Autorità, codesto Segretariato generale ha impartito alcune istruzioni relative all´applicazione della legge n. 675/1996 nell´ambito del Ministero delle finanze.

Il Garante ritiene doveroso segnalare che alcune istruzioni sono basate su interpretazioni non corrispondenti alla legge n. 675/1996, in particolare per ciò che riguarda l´identificazione della figura del "titolare" del trattamento.

Secondo la legge n. 675/1996, il "titolare" è la persona fisica o giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le scelte di fondo sulle finalità e sulle modalità del trattamento dei dati, anche per ciò che riguarda la sicurezza.

Il riferimento alla "persona fisica" , che compare nella definizione del "titolare" (art. 1 legge 675/1996), non riguarda coloro che amministrano o rappresentano la persona giuridica, la pubblica amministrazione o l´ente, ma concerne gli individui che effettuano un trattamento di dati a titolo personale (ad esempio, il libero professionista, il piccolo imprenditore), e che assumono individualmente la piena responsabilità di un´attività che va distinta nettamente, anche sul piano giuridico, da quella che singole persone fisiche possono coordinare nell´ambito e nell´interesse di una persona giuridica, di un´impresa o di un ente nel quale ricoprono incarichi di rilievo.

In altre parole, qualora il trattamento sia effettuato nell´ambito di una persona giuridica, di una pubblica amministrazione o di un altro organismo, il "titolare" è l´entità nel suo complesso (ad esempio, la società, il ministero, l´ente pubblico, l´associazione, ecc.), anziché taluna delle persone fisiche che operano nella relativa struttura e che concorrono, in concreto, ad esprimerne la volontà o che sono legittimati a manifestarla all´esterno (ad esempio, l´amministratore delegato, il ministro, il direttore generale, il presidente, il legale rappresentante, ecc.). In molti casi, tali soggetti potrebbero assumere, semmai, la qualifica di "responsabile" (v. art. 8 legge n. 675/1996).

L´orientamento suesposto, che è pacifico anche in ambito comunitario, è confermato dal tenore letterale della disposizione che reca la definizione di titolare (art. 1, comma 2, lett. d), legge n. 675/1996).

Tale norma, se interpretata in maniera diversa, e cioè ritenendo che la persona giuridica, la pubblica amministrazione o l´ente possano individuare al proprio interno una o più persone fisiche titolari del trattamento, renderebbe illogica la sequenza dei soggetti indicati nella norma medesima, ove di seguito alla "persona fisica" (titolare del trattamento) è menzionata la persona giuridica, la persona fisica, l´ente, l´associazione o l´organismo titolare, appunto, del trattamento.

Le conclusioni alle quali si è poc´anzi pervenuti, e che sono illustrate anche nel modello di notificazione predisposto da questa Autorità, permettono di formulare due ulteriori osservazioni:

a) rispetto all´individuazione del titolare, la legge n. 675/1996 presuppone un approccio assai diverso da quello, ben noto, che deve essere seguito nell´applicazione della legge n. 626/1994 in materia di sicurezza e igiene del lavoro;

b) la necessaria identificazione del Ministero delle finanze quale titolare del trattamento non preclude l´applicazione dei principi generali in materia di formazione della volontà dell´ente e di delega di funzioni, nel senso che la volontà del "titolare" (cioè, lo si ripete, del Ministero delle finanze) sarà formata, anche agli effetti della disciplina sulla protezione dei dati, tenendo conto delle ordinarie attribuzioni degli organi previsti dall´atto costitutivo e dallo statuto. Dovrà tenersi conto, tuttavia, del particolare rapporto tra il "titolare" e il "responsabile" del trattamento, che la legge n. 675 disciplina in termini imperativi in attuazione del dettato comunitario.

Quanto premesso, non preclude ulteriori considerazioni che riguardano le strutture di particolare complessità come il Ministero delle finanze.

La legge 675 individua il titolare anche in un organismo al quale competano reali ed autonome scelte in ordine alle finalità e alle modalità del trattamento.

Nelle istruzioni allegate al modello di notificazione, il Garante ha pertanto precisato che gli enti, le persone giuridiche e le pubbliche amministrazioni articolate in direzioni generali o in sedi centrali, decentrate o periferiche (ad esempio, servizi, dipartimenti, aree anche geografiche, ecc.), sono "titolari" nel loro complesso dei trattamenti.

Tuttavia, se la singola direzione generale o area esercita, tramite i propri organi, un potere decisionale reale e del tutto autonomo sulle finalità e sulle modalità dei trattamenti effettuati nel proprio ambito, non condizionato da scelte effettuate a livello centrale o di vertice, la medesima direzione o area potrebbe essere considerata come titolare dei trattamenti (ovvero, a seconda dei casi, come contitolare, assieme al Ministero).

In conclusione, deve ritenersi che non sia possibile individuare la titolarità del trattamento nelle persone fisiche preposte ad una direzione generale o ad un´area, dovendo tale qualità essere configurata in capo al Ministero (oppure alle complesse unità organizzative - direzione generale o aree anche geografiche - qualora sia possibile riconoscere a queste ultime potestà decisorie effettive e del tutto autonome in ordine al trattamento dei dati).

Resta ferma la facoltà del Ministero di designare alcuni soggetti (persone fisiche o giuridiche, enti od organismi) quali "responsabili" del trattamento, delineandone analiticamente e per iscritto i compiti attribuiti, e individuando al loro interno, se del caso, ulteriori livelli di responsabilità in base all´organizzazione delle divisioni e degli uffici o alle tipologie di trattamenti, di archivi e di dati.

Ad esempio, si potrebbero designare vari responsabili distinti in base alle funzioni amministrative esercitate o alle aree territoriali di operatività, ovvero in ragione delle competenze informatiche, del ruolo svolto quanto alla sicurezza dei sistemi, della titolarità di uffici per i rapporti con il pubblico, ecc., sempreché ciascuno di essi dimostri l´esperienza, la capacità e l´affidabilità richieste dalla legge (art. 8 l. 675/1996).

Infine, si precisa che le disposizioni della legge n. 675/96 che prescrivono il consenso dell´interessato riguardano soltanto i soggetti privati e gli enti pubblici economici, e non si applicano alle amministrazioni pubbliche.

Il Garante ritiene necessario che codesto Segretariato riveda con sollecitudine le istruzioni impartite, ed osserva che tale revisione comporta la conseguente modifica degli aspetti di dettaglio sui quali la circolare si sofferma riguardo all´identificazione del titolare.

Questa Autorità si dichiara sin d´ora disponibile a contribuire, nelle forme ritenute opportune, alla corretta definizione di nuove direttive di cui si ravvisa l´urgenza.

IL PRESIDENTE