Anche i dati non organizzati in un archivio sono soggetti alle norme sulla privacy

La semplice raccolta da parte di un ente di dati personali, anche se non inseriti in banche dati, costituisce, in base alla legge n. 675 del 1996, un trattamento di dati ed è quindi soggetto alle sue norme.
Il principio è stato ribadito dal Garante in risposta ad alcuni quesiti posti da diversi Comuni italiani.
Le legge sulla privacy, infatti, non riguarda solo i dati strutturalmente organizzati in banche dati o archivi, ma tutti i "trattamenti di dati personali" e quindi le varie operazioni che li costituiscono. Questo significa che bisogna garantire agli interessati i diritti previsti dall´art. 13 (accesso ai dati, integrazione, cancellazione opposizione al loro trattamento), provvedere alla nomina delle figure responsabili del trattamento, e adottare le misure di sicurezza per la salvaguardia delle informazioni.
Nel rispondere al quesito, l´Autorità ha colto l´occasione per chiarire anche alcune altre questioni sull´applicazione della legge sulla privacy.
Ha innanzitutto ribadito che il titolare, nel caso di pubbliche amministrazioni, non è la persona fisica che le rappresenta, ma l´amministrazione stessa. Il titolare del trattamento sarà, dunque, il Comune stesso.
Il Garante ha, inoltre, sgombrato il campo da un equivoco ricorrente: che, cioè, i soggetti pubblici, come i Comuni, debbano o possano acquisire il consenso degli interessati per trattare e comunicare i dati in loro possesso. Questo è chiaramente escluso dalla legge n. 675 che, pur stabilendo una disciplina differenziata per la comunicazione o diffusione di dati sensibili o non sensibili (la prima più rigorosa rispetto alla seconda), in nessun caso prevede la richiesta di consenso agli interessati.
Per quanto riguarda la nomina dei responsabili del trattamento, di coloro cioè che si occuperanno della gestione e della sicurezza dei dati, il Garante ha suggerito che, laddove sia compatibile con l´organizzazione o le attività dell´ente, vengano designate responsabili le persone in relazione alla funzione svolta (es. capo del personale, dirigente dell´anagrafe ecc.) in modo tale da creare automatismi a tutto vantaggio degli adempimenti burocratici (ad esempio, per quanto riguarda la notificazione al Garante delle banche dati, le sue eventuali modifiche e le informative agli interessati)
Per la nomina degli incaricati del trattamento, occorre che tale compito venga formalmente attribuito a tutti i soggetti che materialmente trattano dati personali.

Roma, 19 luglio 1999