Enti non profit

Privacy

Privacy e Terzo settore:

tra prospettive di riforma
e interpretazioni del Garante
di Marco A. Quiroz Vitale

Lapprofondimento
In materia di riservatezza, il D.Lgs. n.
69/2012 ha determinato la necessit di un
coordinamento tra il sistema di tutela del contraente, nel settore delle comunicazioni elettroniche, e le norme generali del Codice della
privacy.
La novella al Codice aveva escluso, infatti, dal
novero dei dati personali le informazioni riferibili alle persone giuridiche (fondazioni, associazioni, comitati, cooperative ed altre societ)
ed ha riproposto alcuni delicati problemi di interpretazione della normativa italiana in tema
di riservatezza.
Sul punto intervenuto lo stesso Garante che
ha, tuttavia, sollevato pi dubbi di quelli che
riuscito a fugare.
In ultimo, il complesso di normativa primaria e
secondaria consolidatosi negli ultimi mesi,
consente di valutare lattuale campo di applicazione della normativa sulla riservatezza.
Riferimenti
D.L. 14 agosto 2013, n. 93
D.Lgs. 14 marzo 2013, n. 33
D.Lgs. 28 maggio 2012, n. 69
Garante privacy, provvedimento 20 settembre
2012
D.Lgs. 30 giugno 2003, n. 196

Per la gestione della privacy nel Terzo Settore, il

cambiamento pi radicale dellultimo lustro
stato determinato dagli effetti applicativi del-

lart. 40 del D.L. 6 dicembre 2011, n. 201 (cd.

decreto Monti)1, che, sotto lanodina rubrica
Riduzione degli adempimenti amministrativi
per le imprese, celava un provvedimento di
ampia portata rivolto non tanto alle imprese in
quanto tali, ma alle persone giuridiche e quindi
alle sole imprese esercitate in forma collettiva
ed agli enti privi di scopo di lucro, costituiti ai
sensi del I Libro del Codice civile e delle Leggi
speciali, che non esercitano, in via istituzionale,
alcuna attivit dimpresa2.
Fu facile individuare, subito, un grave scollamento tra lintento dichiarato dal Legislatore
(fatto palese dal titolo della rubrica dellarticolo
citato) e il contenuto precettivo della norma.
La portata del provvedimento era tale da investire, innanzitutto, i soggetti non commerciali,
che per definizione non sono imprese, ma che
hanno necessariamente una struttura super individuale (fondazioni, associazioni, comitati, organizzazioni di volontariato) e le societ, tra cui
ovviamente anche le cooperative ed i consorzi.
La riforma non era, invece, destinata a influire
sulle imprese individuali, in cui le figure della
persona fisica e dellimprenditore sono compenetrate.
Marco A. Quiroz Vitale - Avvocato in Milano e docente presso
lUniversit degli studi di Milano. Coordinatore del Corso di specializzazione in Diritto Fisco e Societ civile nel Terzo Settore.
Note:
1 In Banca Dati BIG Suite, IPSOA.
2 Cfr. M.A. Quiroz Vitale, La nuova privacy per gli enti non profit,
in Enti non Profit, n. 4/2012, pag. 10.

n. 11-12/2013

21

Privacy

Enti non profit

Come si gi osservato3,
La principale novit che ha
Osservazioni critiche
proprio gli imprenditori
contrassegnato la privacy in
individuali sono stati magquesto campo costituita
Lintervento riformatore
(art. 40, D.L. n. 211/2011)
giormente penalizzati daldal pi volte citato art. 40
Dati
personali
ai
fini
dellapplicazione
della
lart. 40 del D.L. n. 201/
del D.L. n. 201/2011 che
normativa sulla privacy sono esclusivamente le
2011 perch per effetto
ha dato luogo ad una serie
informazioni
che
si
riferiscono
alle
persone
fisidellabrogazione dellart. 5,
di abrogazioni esplicite,
che e, simmetricamente, solo le persone fisicomma 3-bis (originariaimplicite e modifiche sisteche sono soggetti titolari del diritto alla protemente introdotto dal D.L.
matiche di cui occorre dazione dei dati personali che li riguardano e deln. 70 del 2011), non solo
re contezza.
le altre facolt previste dal Codice.
tali soggetti rimangono nel
Le ragioni della complessiLintervento riformatore, attuato con lart. 40 del
campo applicativo del Cot dellintervento riformaD.L. n. 211/2011, sulle definizioni e non sullardice della privacy ma non
tore e dei problemi interchitettura del Codice ha, tuttavia, dato luogo ad
possono pi beneficiare pretativi conseguenti vanalcune difficolt interpretative legate al manper le finalit amministratino ricercate, in parte, nella
tenimento del riferimento alle persone giuridiche in altre definizioni, ad esempio quella di
vo contabili - delle disposicriticabile tecnica legislatiabbonato.
zioni di semplificazione
va adottata.
previste dal precedente D.L.
Infatti, il Legislatore non
n. 70/2011, che erano indirizzate ad una platea ha proceduto, come in altre occasioni, a modipi ampia di soggetti: persone giuridiche, im- ficare direttamente lart. 5 del Codice della priprese, enti o associazioni.
vacy, dedicato alla delimitazione del perimetro
Il Governo Monti, avvedutosi dellerrore tecni- soggettivo di applicazione delle norme, limico, aveva predisposto un ulteriore correttivo tandosi a modificare due definizioni, contenute
nel decreto Semplificazioni bis4, il cui testo nellart. 4, che hanno, tuttavia, unimportanza
stato ripreso dal Governo Letta nel giugno del cruciale nella struttura del Codice della privacy:
2013 in occasione del varo di un nuovo D.D.L. quella di dato personale e quella di interessemplificazioni, il cui iter parlamentare si pre- sato.
annuncia lungo, tortuoso e, quanto il preceden- Lintervento riformatore ha espunto dalle dete, incerto.
finizioni ogni riferimento a persona giuridiResta da vedere quale sar il testo definitivo ca, ente od associazione, con il risultato che
della nuova norma, questa volta incidente sul- attualmente dati personali ai fini dellapplilart. 5 del Codice della privacy relativo al cam- cazione della normativa sulla privacy sono
po soggettivo di applicazione, al fine di verifi- esclusivamente le informazioni che si rifericarne leffettiva portata e gli effetti di riflesso scono alle persone fisiche e, simmetricamente,
sugli enti non commerciali.
Normativa sulla privacy e Terzo Settore:
cosa cambia

Le recenti modifiche legislative e le contrastanti interpretazioni che si sono succedute, impongono una complessiva ricognizione del
campo di applicazione della disciplina della
riservatezza con specifico riferimento al Terzo
Settore.

22

n. 11-12/2013

Note:
3 Cfr. M.A. Quiroz Vitale, La nuova privacy per gli enti non
profit, in Enti non profit, n. 4/2012, pag. 10.
4 Art. 17 (Semplificazioni in materia di privacy) 1. Al D.Lgs. 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni: a)
allart. 5, dopo il comma 3, aggiunto il seguente: 3-bis. Il
trattamento dei dati personali di chi agisce nellesercizio dellattivit di impresa, anche individuale, non soggetto allapplicazione del presente codice. Sono fatte salve le disposizioni
di cui alla Parte II, Titolo X del presente codice relativamente
al trattamento di dati riguardanti contraenti ed utenti di servizi di comunicazioni elettroniche..

Enti non profit

solo le persone fisiche sono soggetti titolari
del diritto alla protezione dei dati personali
che li riguardano e delle altre facolt previste
dal Codice.
Lintervento sulle definizioni e non sullarchitettura del Codice ha, tuttavia, dato luogo ad
alcune difficolt interpretative legate al mantenimento del riferimento alle persone giuridiche in altre definizioni, ad esempio quella di
abbonato, prevista dallart. 4, comma 2, lett. f
del medesimo Codice.
Per la sua complessit dedicheremo a questo
aspetto il prossimo paragrafo.
Tra le modifiche indirette della trama normativa occorre evidenziare il diverso significato assunto da una disposizione di fondamentale importanza per consorzi e cooperative.
Al comma 1 dellart. 24 del Codice della privacy, il D.L. n. 70/2011 aveva aggiunto la lettera i
ter) che dispone: con esclusione della diffusione e fatto salvo quanto previsto dallart. 130 del
presente codice si presume il consenso alla comunicazione di dati tra societ, enti o associazioni con societ controllanti, controllate o collegate ai sensi dellarticolo 2359 c.c. ovvero con
societ sottoposte a comune controllo, nonch
tra consorzi, reti di imprese e raggruppamenti e
associazioni temporanei di imprese con i soggetti ad essi aderenti, per le finalit amministrativo contabili, purch queste finalit siano previste espressamente con determinazione resa
nota agli interessati allatto dellinformativa di
cui allarticolo 13.
Alla luce delle modifiche normative in commento, i dati oggetto di trattamento, cui la norma si riferisce, sono relativi alle sole persone fisiche partecipi delle attivit degli enti ovvero
sono relativi alle imprese (anche individuali)
coinvolte.
Le abrogazioni esplicite, conseguenti, alla modifica definitoria sono state parecchie:
stato espunto dallordito del testo normativo
il comma 3-bis dellart. 5), come precisato
supra; altri articoli hanno subito abrogazioni

Privacy

parziali per le parti riferite originariamente alle

persone giuridiche: le modalit di esercizio dei
diritti dellinteressato sono state limitate allipotesi di persone fisiche (art. 9), cos come le
garanzie per i trasferimenti dei dati verso paesi
terzi (art. 43).
Modifiche implicite

Occorre, tuttavia, sottolineare che si sono verificate anche altre modifiche implicite, la pi rilevante delle quali, per motivi dordine sistematico, labrogazione della lettera b) del comma
3 dellart. 26.
1. I dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dellinteressato
e previa autorizzazione del Garante, nellosservanza dei presupposti e dei limiti stabiliti dal presente
codice, nonch dalla legge e dai regolamenti.
..
3. Il comma 1 non si applica al trattamento:
..
b) dei dati riguardanti ladesione di associazioni od
organizzazioni a carattere sindacale o di categoria
ad altre associazioni, organizzazioni o confederazioni a carattere sindacale o di categoria;

Il punto sub b) del comma in questione ha

avuto una scarsa, forse nulla, incidenza pratica
ma un indubbio rilievo sistematico, essendo
una delle poche norme direttamente e specificamente dettate per le persone giuridiche, prevedendo che fosse possibile il trattamento: dei
dati riguardanti ladesione di associazioni od
organizzazioni a carattere sindacale o di categoria ad altre associazioni, organizzazioni o
confederazioni a carattere sindacale o di categoria, anche senza la necessit dellautorizzazione del Garante e senza necessit del consenso scritto dei legali rappresentati degli enti in
questione potendo presumersi il loro assenso
nel fatto stesso della affiliazione.
Tale norma era, secondo il parere di chi scrive,
lunica ragionevole disciplina dei rapporti intra
associativi degna dessere posta come modello
ideale, de iure condendo, per una efficace regolazione della riservatezza nel Terzo Settore.

n. 11-12/2013

23

Privacy

Enti non profit

Pur in assenza di espressa abrogazione, la modifica trasversale della definizione di dato personale, priva in nuce di qualsivoglia efficacia, anche solo potenziale, tale norma che , quindi,
da intendersi implicitamente abrogata.
Privacy e trasparenza: i rapporti
PA/non profit dopo il D.Lgs. n. 33/2013

Nel marzo 2013 , peraltro, intervenuta una ulteriore modifica del campo soggettivo di applicazione del Codice della privacy.
Modifica pi formale che sostanziale che, tuttavia, merita dessere commentata per il suo
intreccio con il principio della trasparenza amministrativa e, quindi, per linfluenza sui rapporti tra cooperative, consorzi ed enti non
profit ed amministrazioni, appaltanti o convenzionate.
Il diritto alla protezione dei dati personali
configurato dal Codice come diritto assoluto
della personalit; infatti, chiunque ha diritto
alla protezione dei dati personali che lo riguardano.5.
Il termine chiunque da interpretarsi come
riferito a ogni persona fisica senza riguardo alcuno alle sue condizioni personali o sociali. Il
campo di applicazione soggettivo del diritto alla privacy ha conosciuto i maggiori cambiamenti nellultimo lustro.
Lattuale formulazione dellart. 1 del Codice
della privacy frutto di una prima modifica introdotta dal comma 9 dellart. 4, legge 4 marzo
2009, n. 15 (cd. legge Brunetta) e poi dalla lettera a) del comma 1 dellart. 14, legge 4 novembre 2010, n. 183 che ha eliminato la precedente modifica.
Il cambiamento di rotta stato notevole: il Legislatore aveva in un primo momento escluso
dal campo di applicazione del Codice le notizie concernenti lo svolgimento delle prestazioni di chiunque sia addetto ad una funzione
pubblica e la relativa valutazione; dopo la novella del 2010, la materia state regolata dallart. 19, comma 3-bis che limitava la ostensi-

24

n. 11-12/2013

bilit dei dati sensibili o quasi sensibili concernenti le assenze o componenti della valutazione o concernenti il rapporto di lavoro, salvo i casi previsti dalla legge tra i quali deve,
tuttavia, annoverarsi il diritto di accesso.
Ora, tale comma stato, a propria volta, abrogato dallart. 53, comma 1, lett. e) del D.Lgs. 14
marzo 2013, n. 33; tuttavia, la disciplina della
conoscibilit e dellaccesso ai dati personali dei
funzionari pubblici non cambiata nella sostanza, essendo la vecchia norma riprodotta in
un contesto pi articolato in seno allart. 4 del
medesimo D.Lgs. n. 33/2013, entrato in vigore,
in parte de qua, il 20 aprile 2013, che dispone
quanto illustrato nella Tavola n. 1.
Ci nondimeno, restano fermi i limiti alla diffusione e allaccesso delle informazioni dettati
dalla legge sulla trasparenza amministrativa6, di
quelli previsti dalla normativa nazionale ed europea in materia di tutela del segreto statistico,
nonch quelli relativi alla diffusione dei dati
idonei a rivelare lo stato di salute e la vita sessuale.
Peraltro, occorre osservare che rimane in vigore - con riferimento alle convezioni ed alle gare ad evidenza pubblica - lespresso limite al diritto di accesso connesso con lesigenza di preservare la vita privata o la riservatezza di persone fisiche, persone giuridiche, gruppi, imprese e associazioni, con particolare riferimento
agli interessi epistolare, sanitario, professionale,
finanziario, industriale e commerciale di cui
siano in concreto titolari, ancorch i relativi
dati siano forniti allamministrazione dagli stessi
soggetti cui si riferiscono.
Occorrer, quindi verificare come si possa conciliare tale previsione con quella appena vista
che ha escluso le persone giuridiche dalla tutela offerta dal Codice della privacy.
Note:
5 Art. 1, Codice della Privacy.
6 Legge 7 agosto 1990, n. 241.

Enti non profit

Fornitura di servizi di comunicazione
elettronica accessibili al pubblico
dopo il D.Lgs. n. 69/ 2012

I primi interpreti, dopo la riforma del 2011,

hanno messo in evidenza come il riferimento
alle persone giuridiche non sia, in realt, del
tutto scomparso dal tessuto normativo del Codice perch lart. 4 comma 2, lett. f, recava ancora loriginaria definizione di abbonato come qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto
con un fornitore di servizi di comunicazione
elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di
tali servizi tramite schede prepagate.
Tuttavia, il riferimento alle persone giuridiche
nella definizione di abbonato pareva essere
frutto di una svista del Legislatore che linterprete avrebbe potuto agevolmente emendare, ricorrendo al ragionamento secondo il quale i dati della persona giuridica abbonato non
sono pi considerati dati personali e, quindi,
manca il presupposto per applicare a tali sog-

Privacy

getti anche la normativa speciale dettata dal

Codice della privacy (artt. 121-132).
Non pu essere ignorato, infatti, che lart. 121,
che apre il titolo X del Codice, cos recita: le
disposizioni del presente titolo si applicano al
trattamento dei dati personali connesso alla
fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di
comunicazioni, comprese quelle che supportano i dispositivi di raccolta dei dati e di identificazione.
Ci ha determinato, naturalmente, gravi incertezze ermeneutiche soprattutto a seguito dellentrata in vigore dal D.Lgs. 28 maggio 2012,
n. 697.
Interpretazione teleologica

Una prima interpretazione teleologica legge

il testo normativo alla luce della ratio degli interventi riformatori.
Nota:
7 In Banca Dati BIG Suite, IPSOA.

Tavola n. 1
- Quanto ai dati personali comuni per cui sussistono obblighi di pubblicazione, si prevede la possibilit di
una diffusione dei dati medesimi attraverso siti web istituzionali, nonch il loro trattamento secondo modalit
che ne consentono la indicizzazione e la rintracciabilit tramite i motori di ricerca web ed il loro riutilizzo
pur nel rispetto dei principi sul trattamento dei dati personali.
Quanto ai dati relativi a titolari di organi di indirizzo politico e di uffici o incarichi di diretta collaborazione, nonch a dirigenti titolari degli organi amministrativi analogamente consentita la pubblicazione dei relativi dati nei siti istituzionali, al fine della realizzazione della trasparenza pubblica, che integra una finalit di rilevante interesse pubblico nel rispetto della disciplina in materia di protezione dei dati personali.
Quanto agli atti o documenti di cui norme di legge o di regolamento prevedano la pubblicazione, attraverso qualsiasi forma, le pubbliche amministrazioni provvedono a rendere non intelligibili i dati personali non
pertinenti o, se sensibili o giudiziari, non indispensabili rispetto alle specifiche finalit di trasparenza della
pubblicazione.
Per tutti i dati per i quali non sussiste un vero obbligo di pubblicazione, le pubbliche amministrazioni
possono utilizzare il proprio sito istituzionale per la diffusione di informazioni (racchiuse o meno in documenti) fermi restando i limiti e le condizioni espressamente previsti da disposizioni di legge, rendendo per
anonimo il dato stesso con tutti i problemi che ci comporta in abiti sociali molto circoscritti.
Infine, come gi previsto dal Codice della privacy, le notizie concernenti lo svolgimento delle prestazioni
di chiunque sia addetto a una funzione pubblica e la relativa valutazione sono rese accessibili dallamministrazione di appartenenza. Non sono, invece, ostensibili, se non nei casi previsti dalla legge, le notizie concernenti la natura delle infermit e degli impedimenti personali o familiari che causino lastensione dal lavoro, nonch le componenti della valutazione o le notizie concernenti il rapporto di lavoro tra il predetto dipendente e lamministrazione, idonee a rivelare taluna delle informazioni di cui allart. 4, comma 1, lettera
d) del D.Lgs. n. 196 del 2003 [dati sensibili].

n. 11-12/2013

25

Privacy

Enti non profit

Rilevato che la definizione

previsti dagli artt. 121 e ss.
Osservazioni
di abbonato posta allindel Codice della privacy.
terno del Codice della priConoscibilit e accesso ai dati
vacy mal si coordinava con
Interpretazione
personali dei funzionari pubblici
La
disciplina
della
conoscibilit
e
dellaccesso
ai
la fondamentale definizioabrogans
dati personali dei funzionari pubblici non
ne di dato personale Una seconda interpretaziocambiata
nella
sostanza,
essendo
la
vecchia
cos come risulta modificane tende a razionalizzare
norma riprodotta in un contesto pi articolato in
ta dalla lett. a), comma 2
il testo normativo, negando
seno
allart.
4
del
D.Lgs.
n.
33/2013.
dellart. 40, D.L. 6 dicemqualsivoglia incoerenza neOccorre osservare che rimane in vigore - con ribre 2011, n. 201 secondo
gli interventi riformatori
ferimento alle convezioni ed alle gare ad evidencui pu essere considerato
ma, al tempo stesso, depoza pubblica - lespresso limite al diritto di actale qualunque informatenziando la ratio della legcesso connesso con lesigenza di preservare
zione relativa a persona fige che, come detto, ha reala vita privata o la riservatezza di persone fisica, identificata o identifilizzato la pi ampia deregusiche, persone giuridiche, gruppi, imprese e
cabile, anche indirettamenlation nel settore.
associazioni, con particolare riferimento agli
te, mediante riferimento a
Un esempio di tale filone
interessi epistolare, sanitario, professionale,
finanziario, industriale e commerciale di cui
qualsiasi altra informazione,
ermeneutico offerto dal
siano in concreto titolari, ancorch i relativi dati
ivi compreso un numero di
Provvedimento del Garansiano
forniti
allamministrazione
dagli
stessi
sogidentificazione personale te del 20 settembre 20129.
getti
cui
si
riferiscono.
si imputa tale mancato coSecondo il Garante, il D.L.
ordinamento ad un lapsus
n. 201/2011 non ha in aldel Legislatore, che ha portato a compimento il cun modo interessato la nozione di abbonato,
suo intento di deregolare un intero settore: rimasta intatta nella formulazione originaria
quello delle persone giuridiche, attraverso un per cui, ragionando a contrario qualora il legislaintervento definitorio poco chiaro.
tore avesse inteso stralciare le persone giuridiTuttavia, dopo il D.Lgs. n. 69/2012 la conferma che anche dal campo di applicazione del capo
dellestensione del temine abbonato alle per- 1 del titolo X del Codice, si sarebbe limitato a
sone giuridiche non pu condurre che alla sostituire la dizione di abbonato (ora contraconstatazione di quali esiti articolati generi il ente) con quella di utente la quale, anche in
nuovo dettato normativo frutto di continue ragione della definizione che ne viene resa,
modifiche di definizioni e di regole8.
ovviamente applicabile soltanto alle persone fiIn sostanza, per preservare il principio di non siche10; ci induce lAuthority a sostenere che il
contraddizione, anche nella parte speciale del
Codice, non potranno applicarsi alle persone Note:
giuridiche quelle norme o quelle parti di com- 8 Per una prima elaborazione della ipotesi interpretativa sviluppata nel testo, cfr. Marco A. Quiroz Vitale, Le nuove modifiche al
plesse disposizioni normative che presupponCodice della privacy, articolo del 14 giugno 2012 in www.altagono il trattamento di dati personali, mentre
lex.com.
saranno applicabili, in via deccezione, le dispo- 9 Provvedimento in ordine allapplicabilit alle persone giuridiche del Codice in materia di protezione dei dati personali a
sizioni - che linterprete deve individuare caso
seguito delle modifiche apportate dal D.L. n. 201/2011 - 20
settembre 2012.
per caso - che, da un lato, si riferiscono al
10 Testualmente: qualsiasi persona fisica che utilizza un servizio
contraente quale soggetto (persona fisica o
di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbogiuridica) e che, dallaltro, in base al rapporto
nata, art. 4, comma 1, lett. g) del Codice; cos il Garante, nel
contrattuale con il fornitore, attribuiscono anprovvedimento citato.
(segue)
che alla persona giuridica determinati diritti

26

n. 11-12/2013

Enti non profit

Legislatore avrebbe inteso assicurare prevalenza
allapplicazione di tutte quelle norme, di carattere speciale, che assumono come presupposto
il trattamento di dati dellabbonato (ora
contraente) e quindi le norme del titolo X
del Codice continuerebbero ad applicarsi anche alle persone giuridiche.
Lintervento del Legislatore, attuato con il
D.Lgs. n. 69 del 2012, smentisce, invero, linterpretazione del Garante e conferma lespulsione
delle persone giuridiche dalla trama del Codice
della privacy operando una chiara scelta terminologica: il contraente un soggetto qualificato in relazione al rapporto contrattuale che
lo lega al fornitore di servizi di servizi di comunicazione elettronica accessibili al pubblico
a prescindere dal trattamento dei suoi dati personali.
Il contraente quale centro
di imputazione di interessi e diritti

Come dimostrato in precedenza, il contraente si pone quale centro di imputazione di interessi e diritti rispetto a molte previsioni del
Titolo X del Codice che, tuttavia, prescindono
dalle vicende di trattamento di dati personali.
Art. 122 del codice

Cos, ad esempio, lart. 122, come modificato

proprio dal D.Lgs. n. 69/2012, vieta, in termini
generali, luso di una rete di comunicazione
elettronica per accedere a informazioni archiviate nellapparecchio terminale di un contraente o di un utente, per archiviare informazioni o per monitorare le operazioni dellutente.
In questo caso, lutilizzo del termine informazioni in senso lato rende la previsione applicabile a tutti i contraenti anche quelli diversi dalle persone fisiche; cos pure larchiviazione delle informazioni nellapparecchio terminale di
un contraente o di un utente o laccesso a informazioni gi archiviate sono altrettante operazioni lecite purch avvengano con il consenso informato dei contraenti ovvero da parte di

Privacy

un fornitore di un servizio della societ dellinformazione in base al consenso; consenso

presunto nel quadro di operazioni tecniche o
funzionali alla fornitura di servizi richiesti.
In tutti i casi contemplati dallart. 122, oggetto
di protezione sono delle generiche informazioni e non solo i dati personali e quindi, nella logica di sistema, tra i soggetti legittimati a prestare il loro consenso o a dolersi di accessi illeciti negli apparecchi terminali sono annoverati
anche i contraenti persone giuridiche.
Lart. 122 comma 3, prevede, inoltre, che il fornitore di un servizio di comunicazione elettronica possa trattare i dati relativi al traffico anche
ai fini di commercializzazione di servizi di comunicazione elettronica o per la fornitura di
servizi a valore aggiunto, ma solo in base ad
un consenso espresso e preventivo, che, peraltro,
revocabile in ogni momento.
Anche in questo caso, lestensione del requisito
del consenso anche alle persone giuridiche
contraenti si giustifica in quanto la definizione di dato relativo al traffico - qualsiasi dato
sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione - pare riferirsi ad informazioni pi ampie
dei dati personali in senso stretto e la garanzia
apprestata dallart. 122 sembra inserirsi in una
dinamica contrattuale che prescinde dalla natura giuridica dei contraenti.
Artt. 123, 124, 125, 127, 128 e 131 del codice

Analogamente, sono applicabili al contraente

gli articoli seguenti: 123, 124, 125, 127, 128 e
131. Lart. 123 che vieta al fornitore di una reNota:
(segue nota 10)
A sostegno di questa ipotesi interpretativa, il Garante invoca
sia la documentazione parlamentare (Dossier di documentazione, dell8 dicembre 2011), sia il criterio della specialit
(cio la prevalenza di norme speciali del codice su quelle generali) ed, infine, il principio, pi politico che ermeneutico, di
interpretazione conforme (per il quale il giudice nazionale
deve la lettura del diritto interno nazionale nel senso pi aderente possibile a quello comunitario europeo).

n. 11-12/2013

27

Privacy

Enti non profit

te pubblica di comunicaconfuta lipotesi interpreLa novit

zioni o di un servizio di
tativa del Garante.
Estensione dei reati
comunicazione elettronica
Lart. 130, infatti, sino alpresupposto
accessibile al pubblico la
lentrata in vigore del
La
riforma
attuata
con
il
D.L.
n.
93/2013
ha
amconservazione di dei dati
D.Lgs. n. 69/2012 era pacipliato il novero dei reati presupposto (reati
relativi al traffico dei conficamente applicabile solo
che
generano
una
responsabilit
amministrativa
traenti che devono essere
alle persone fisiche in
a carico di tutti gli enti, profit e non profit),
quindi eliminati o resi anoquanto le limitazioni alla
estendendolo ai reati previsti dal Codice della
nimi esaurita la fase si traeffettuazione delle comuprivacy.
smissione; il 124 concernicazioni promozionali
nente la Fatturazione det(inoltrate con sistemi autotagliata e il 125 riguardante la Identificazione matizzati di chiamata oppure per il tramite di
della linea, il 127 sulle Chiamate di disturbo strumenti di posta elettronica, telefax, sms o
e di emergenza, il 128 Trasferimento auto- mms) erano poste a favore dellinteressato.
matico della chiamata; infine, il 131 Informa- Il Legislatore ha realizzato un ragionevole
zioni a contraenti e utenti. Tali norme si rife- compromesso tra opposte esigenze sostituendo
riscono al contraente quale soggetto - perso- il termine interessato con contraente ed acna fisica o giuridica - che, in base al rapporto cordando, in tal modo, la medesima tutela sia
contrattuale con il fornitore, pu esercitare una alle persone fisiche che a quelle giuridiche, che
serie di diritti:
devono poter esprimere un previo consenso
la richiesta della fatturazione e con lautoriz- per la ricezione di materiale pubblicitario o di
zazione del Garante la indicazione completa vendita diretta o per il compimento di ricerche
dei numeri chiamati;
di mercato o di comunicazione commerciale,
la possibilit di impedire, gratuitamente e attuata mediante luso di sistemi automatizzati
mediante una funzione semplice, la presenta- di chiamata o di comunicazione di chiamata
zione dellidentificazione della linea chia- senza lintervento di un operatore.
mante o respingere tali chiamate,
Una simile scelta, come del resto lintero siste la possibilit di rendere per quindici giorni ma giuridico del titolo X del Codice, trova uno
temporaneamente inefficace la soppressione specifico fondamento giuridico in quanto il padella presentazione dellidentificazione della ragrafo 5 dellart. 13 della direttiva 2002/58/CE
linea chiamante e ottenere dal fornitore la - pur limitando la tutela in questione ai soli abconservazione dei dati relativi alla provenien- bonati che siano persone fisiche - prevede che
za della chiamata ricevuta,
gli Stati membri, nel quadro del diritto comu la possibilit di bloccare il trasferimento au- nitario e della normativa nazionale applicabile,
tomatico delle chiamate verso il proprio ter- sono sollecitati ad offrire unadeguata tutela deminale effettuato da terzi, ecc.
gli interessi legittimi degli abbonati che non siaSi tratta, pertanto, di facolt e poteri che sono no persone fisiche relativamente alle comunicafrutto di una integrazione legale degli accordi zioni indesiderate.
contrattuali inter partes.
Da ci, tuttavia, non pu trarsi la conclusione che scorrettamente trae il Garante - che le
Art. 130 del codice
chiamate automatizzate con lutilizzo dei dati
Larticolo che rende palese la coerenza dellin- delle persone giuridiche costituiscono altretterpretazione proposta il 130 del Codice del- tanti trattamenti di dati personali, in relazione
la privacy che, infatti, non conferma ma, invero, alle persone giuridiche.

28

n. 11-12/2013

Enti non profit

Lo impedisce veduto il principio di non contraddizione.
Si tratta di una mera estensione analogica alle
persone giuridiche di alcune forme di tutela
previste a favore delle persone fisiche. Le cui
informazioni sono soggette ad utili in relazione
ai rapporti contrattuali vigenti tra le parti.
Il rafforzamento delle sanzioni
e la nuova responsabilit amministrativa
di cooperative ed enti non profit
per violazioni della privacy

Lart. 911 del D.L. 14 agosto 2013, n. 93 (Frode

informatica commessa con sostituzione didentit digitale) trova pacifica applicazione a tutte
le persone giuridiche.
Larticolo in commento ha modificato lart. 24bis del D.Lgs. n. 231 del 2001 (Delitti informatici e trattamento illecito di dati).
Tale Decreto ha introdotto nel nostro ordinamento una forma di responsabilit amministrativa a carico di tutti gli enti (profit e non profit) per alcuni reati (chiamati pertanto presupposto commessi dagli organi apicali o dai dipendenti o comunque dagli appartenenti ad
una organizzazione pi complessa (societ, fondazione, associazione ecc.).
La riforma attuata con il D.L. n. 93/2013 ha
ampliato il novero dei reati presupposto
estendendolo - tra laltro - ai reati previsti dal
Codice della privacy.
Attualmente, quindi, un reato di Trattamento
illecito di dati, Falsit nelle dichiarazioni e
notificazioni al Garante, Inosservanza di
provvedimenti del Garante, di violazione della
privacy dei lavoratori e - soprattutto - di inosservanza delle misure minime di sicurezza posto in essere da una dirigente o un dipendente
di una cooperativa o di una ente non profit, se
realizzato nellinteresse dellorganizzazione o
per far conseguire ad essa un vantaggio, determina lirrogazione di sanzioni pecuniarie (ed
altre accessorie) assai rilevanti.
Largomento di estremo interesse e meriter

Privacy

successivi approfondimenti, in special modo in

relazione alla opportunit per ciascun ente di
dotarsi di un Modello Organizzativo che - sostituendo il DPS - esenti lorganizzazione dal
dover rispondere a titolo di responsabilit amministrativa.
Cambiamenti sotterranei
e lideologia della semplificazione

Tornando al tema dellambito di applicazione

soggettivo delle norme del Codice della privacy,
si osserva che dalla definizione di tale ambito
derivano le ulteriori conseguenze in tema di
individuazione degli obblighi cui gli enti sono
soggetti e la possibilit o meno di incorrere in
violazioni amministrative e penali e nella stesse
fattispecie di responsabilit amministrativa analizzate supra.
Il provvedimento del Garante del 20 settembre
del 2012 si conclude con una serie di critiche
alla legge vigente cui si imputa un difetto di
coordinamento tra la tutela offerta ai contraenti, cos come interpretata dallo stesso Garante, e le prerogative non pi riconosciute agli
enti per effetto della riforma del 2011.
Anche tali critiche non colgono nel segno.
In sostanza il Garante sollecita un ritorno al
passato, non avendo mai approvato la politica
di deregulation del Governo.
Al contrario, la riforma del 2011 ha un significato chiaro e coerente con la cornice delineata
dalla direttiva 95/46/CE del Parlamento e del
Consiglio europeo, del 24 ottobre 1995 che
relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonch alla libera circolazione di tali dati.
La direttiva, infatti, impegna gli Stati membri a
garantire: la tutela dei diritti e delle libert
fondamentali delle persone fisiche e particolarmente del diritto alla vita privata, con riguardo
al trattamento dei dati personali (art. 1), non
Nota:
11 In vigore dal 17 agosto.

n. 11-12/2013

29

Privacy

Enti non profit

delle persone giuridiche, per le quali - come

abbiamo chiarito recentemente - il concetto di
riservatezza o privacy ha un significato meramente metaforico, risolvendosi, in realt, nella
tutela indiretta dei diritti delle persone fisiche
che della persona giuridica costituiscono il
substrato sociale ed organizzativo12.
Ci che occorre riconoscere, per evitare interpretazioni fuorvianti o controriformiste,
che il concetto di riservatezza degli Enti e
quello di protezione dei dati personali non
coincidono pi, se mai ci fosse avvenuto in
passato.
Il principio di non contraddizione ci impone
di escludere che si possa configurare una violazione di dati personali degli enti ma pu realizzarsi una violazione della loro riservatezza
concepita in termini analogici nei termini anzidetti.
Art. 32-bis del Codice della privacy

La differenza fatta palese dallart. 32-bis del

Codice della privacy, introdotto dal D.Lgs. n.
69/2012, che impone, al comma 1, al fornitore
di servizi di comunicazione elettronica accessibili al pubblico in caso di violazione di dati
personali13, di comunicare senza indebiti ritardi detta violazione al Garante.
In questo caso, la violazione dei dati degli enti
in quanto non personali non tale da poter
integrare gli estremi della previsione di legge.
La previsione del comma 2 del medesimo articolo formulata ben diversamente: quando la
violazione di dati personali rischia di arrecare
pregiudizio ai dati personali o alla riservatezza
di contraente o di altra persona, il fornitore comunica anche agli stessi senza ritardo lavvenuta violazione.
In tal caso, la norma si rivolge al contraente e,
quindi, anche alle persone giuridiche a tutela
del riservatezza del medesimo.
Tale seconda norma , secondo linterpretazione proposta, applicabile anche agli enti per le
ipotesi violazione di dati personali, evidente-

30

n. 11-12/2013

mente diversi da quelli degli Enti che per definizione non sono personali, che abbiano quale
riflesso la messa a rischio della riservatezza
del contraente-persona giuridica.
Il bene giuridico tutelato non , quindi, il pi
limitato diritto al corretto trattamento dei dati
personali, secondo le forme e le modalit del
Codice della privacy ma il diritto alla personalit
costituito dalla riservatezza, che pure appartiene in termini metaforici anche alle persone
giuridiche ai sensi del codice civile e delle leggi
civili speciali e le cui forme di tutela sono offerte dallordinamento giuridico generale e non
dalle speciali tutele del Codice della privacy.
La conclusione cui siamo pervenuti , a questo
punto, generalizzabile.
Il D.L. n. 201/2011 ha sottratto agli enti - coerentemente con le Direttive europee di riferimento e con le esigenze di semplificazione e
snellezza nella regolazione delle relazioni sociali - una limitata componente del complessivo
diritto alla riservatezza di cui sono portatori, in
via analogica, rispetto alle persone in carne ed
ossa, persone che costituiscono il substrato sociologico cui rivolta la tutela degli enti.
Le norme del Codice della privacy, sia di parte
generale che speciale, non disciplinano, con riferimento agli enti, alcun profilo del diritto
sancito dallart. 1 chiunque ha diritto alla protezione dei dati personali che lo riguardano.
Cionondimeno, alcune specifiche norme del
Codice della privacy saranno applicabili anche
alle persone giuridiche, in quanto parti contrattuali di un contratto di fornitura di servizi
di comunicazione elettronica, offrendo una tuNote:
12 Cfr. di M.A. Quiroz Vitale, Diritto alla privacy e diritto di Associazione. Pluralismo e conflitto tra diritti fondamentali. Milano, 2012.
13 Secondo la lettera g) bis del comma III dellart 4 del Codice,
aggiunta dallart. 1, comma 1, lett. b), del D.Lgs. 28 maggio
2012, n. 69 per violazione di dati personale intende: violazione della sicurezza che comporta anche accidentalmente la
distruzione, la perdita, la modifica, la rivelazione non autorizzata o laccesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di
comunicazione accessibile al pubblico.

Enti non profit

tela di riflesso alla riservatezza degli enti; in tale
contesto, lart. 130 del Codice si pone quale
norma deccezione poich protegge, in via diretta, anche le organizzazioni superindividuali
dalle comunicazioni indesiderate.
Non pu, infine, non rilevarsi come interventi

Privacy

riformatori che incidano sullapplicazione soggettiva del Codice - come quelli coevi relativi
ai dati dei pubblici funzionari - dovrebbero essere realizzati con pi meditati interventi sullarchitettura del codice e non con semplici
modifiche definitorie.

n. 11-12/2013

31