Sei sulla pagina 1di 307

Massimario 1997-2001

Massimario

CONTRIBUTI
I PRINCIPI AFFERMATI DAL
G ARANTE NEI PRIMI CINQUE
ANNI DI AT TIVITÀ

Questo volume contiene una sintesi dei principi af-


1997-2001
fermati dal Garante nel corso del primo quinquennio

di attività, ordinati secondo uno schema di classifica-

zione e completati dei riferimenti necessari per repe-

rire i singoli provvedimenti. L’attività di massimazio-


Luigi Pecora
Giuseppe Staglianò
ne proseguirà con continuità e i risultati saranno

consultabili anche attraverso altre fonti documentali

(sito web e bollettini del Garante). Si tratta quindi di

un work in progress che si propone di coniugare la

definizione dei principi istituzionali della materia con

la realtà economico-sociale in continua evoluzione.

www.garanteprivacy.it
Redazione
Stefano Rodotà, Presidente Garante per la protezione dei dati personali
Giuseppe Santaniello, Vice Presidente
Gaetano Rasi, Componente Piazza di Monte Citorio, 121
Mauro Paissan, Componente 00186 Roma
fax 06 69677785
Giovanni Buttarelli, Segretario generale www.garanteprivacy.it
www.dataprotection.org
e-mail: garante@garanteprivacy.it

Pubblicazione della
Presidenza del Consiglio dei Ministri
Dipartimento per l’informazione e l’editoria

Direttore: Mauro Masi

Via Po, 14 - 00198 Roma - tel. 06 85981

Vita italiana - Schede

Coordinamento editoriale: Augusta Busico

Stampa e distribuzione:
Ufficio grafico dell’Istituto Poligrafico e Zecca dello Stato
Piazza di Monte Citorio, 121 presso il Dipartimento per l’informazione e l’editoria
00186 Roma
fax 06 69677785
www.garanteprivacy.it Progetto grafico:
www.dataprotection.org Vertigo Design
Gli autori ringraziano coloro che
nell’Ufficio del Garante hanno
contribuito a questo volume, in
particolare il dott. Maurizio Leante
per la cura editoriale.
Massimario
I PRINCIPI AFFERMATI DAL
G ARANTE NEI PRIMI CINQUE
ANNI DI AT TIVITÀ

1997-2001

Luigi Pecora
Giuseppe Staglianò

www.garanteprivacy.it
Indice
Presentazione 1 Dati idonei a rivelare lo stato di salute 23

Requisiti dei dati 23


Categorie e requisiti dei Pertinenza, completezza e non eccedenza 23
Proporzionalità del trattamento 29
dati personali 7 Liceità e correttezza 30
Conservazione dei dati 33
Dato personale 9
Nozione 9
• Affidabilità economica Presupposti e modalità
• Dato anonimo
• Elaborazioni automatizzate
del trattamento 35
della personalità dell’interessato
Informativa 37
• Informazioni cifrate
Profili generali 37
• Informazioni pubblicate
Informativa semplificata 41
su rivista medica
• Codice deontologico per l’attività giornalistica
• Lavoro e previdenza
• Pubblicazioni occasionali
• Manifestazioni del pensiero
• Operazioni di cartolarizzazione
• Perizie medico legali
Oggetto 42
• Rilevazioni biometriche
• Attività sportiva
• Servizi di posta elettronica ibrida
• Istituti di credito
epistolare
• Marketing
• Suoni e immagini
• Pubblicazioni scientifiche
• Utenze e traffico telefonico
• Pubblicità telefonica
• Visite mediche specialistiche
• Propaganza elettorale
• Questionari R.a.i.
Dati giudiziari 15
• Rilevazioni biometriche
• Trattamento correlato ed autonomo
Dati sensibili 16
Esonero 45
Profili generali 16
• In genere
Dati idonei a rivelare l’adesione a sindacati 19
• I.s.v.a.p.
• Indirizzari per la spedizione di periodici
• Consultazioni elettorali
Dati idonei a rivelare l’appartenenza etnica 19
Dati idonei a rivelare convinzioni religiose 20
Consenso 47
•Registri dei battezzati
Profili generali 47
Dati idonei a rivelare opinioni politiche 21
Esclusione 53
•Elenchi di sottoscrittori di liste elettorali
• Adempimento di un obbligo di legge
• Partiti politici
• Agenti di cambio
• Tessera elettorale

II Massimario 1997/2001
Indice
• Appalti pubblici • Imprenditori artigiani
• Attività economiche • I.n.p.g.i.
• Attività giornalistica • Notai e Consigli notarili
• Diritto di difesa • Obblighi contabili, retributivi, previdenziali,
• Fondo nazionale di garanzia nel settore assistenziali e fiscali
dei valori mobiliari • Piccole e medie imprese industriali
• Pubblicazioni occasionali • Pubblicazioni occasionali
• Richieste referendarie
• Soggetti pubblici Misure per la sicurezza dei dati e dei sistemi 76
Casi particolari 60 Archivi di reparti ospedalieri 76
• Attività sportiva Banche dati centralizzate 76
• Concessionari di servizi telefonici Conservazione e lettura di immagini 77
• Coupon Dati in busta paga 78
• E-mail e spamming Fondo di solidarietà per le vittime dell’usura 78
• Partiti politici Misure minime 78
• Pubblicità telefonica Questionari R.a.i. 79
• Esercenti le professioni sanitarie Rilevazioni biometriche 80
Riservatezza nelle operazioni bancarie 80
Titolare, responsabile, incaricato 62
Profili generali 62 Cessazione del trattamento 80
Casi particolari 65
• Associazioni professionali
• Attività giornalistica Privati ed enti pubblici
• Autore della pubblicazione
• Aziende farmaceutiche
economici 83
• Comuni e province
Settori di attività 85
• Concessionari di pubblici servizi
Attività giornalistica 85
• Condominio negli edifici
• Profili generali
• Ministeri
• Informativa semplificata
• R.a.i.
• Pubblicazioni occasionali
• Servizi informatici di postalizzazione
- Profili generali
• Servizi di posta elettronica ibrida epistolare
- Biografie di dirigenti di partiti politici
• Titolare di trattamento correlato ed autonomo
• Ufficio per la mediazione penale di Milano
- Epistolario
- Opuscoli di propaganda politica
Notificazione 72 ed elettorale
Profili generali 72 - Provvedimenti disciplinari adottati
In forma semplificata 73 dai Consigli dell’Ordine degli avvocati
Esonero 74 - Rassegne stampa

Indice III
Indice
• Casi particolari • Ungheria
- Dati reddituali dei contribuenti • Paesi che non garantiscono un adeguato
- Dati derivanti da intercettazioni livello di protezione
- Interviste e dichiarazioni alla stampa
- Minori
- Cronaca giudiziaria
Soggetti pubblici 117
- Pubblicazioni di matrimonio
- Segreto professionale del giornalista Profili generali 119
Biometria 96
Istituti di credito 98 Settori di attività 122
• Profili generali Agenzie regionali per l’impiego 122
• Rapporti con la Banca d’Italia Anagrafe dei rapporti di conto e di deposito 123
• Casi particolari Archivi di Stato 123
- Benefondi Comuni e province 123
- Dichiarazione dei redditi dei contribuenti Concessionari di pubblici servizi 125
- Rilevazioni biometriche all’ingresso Ministero della difesa 126
delle banche Ministero delle comunicazioni 126
- Riservatezza nelle operazioni bancarie Prefetto 126
Istituti scolastici e università 101 Privati incaricati del trattamento 127
Lavoro e previdenza 101 R.a.i. 127
Sanità 101 Servizi ispettivi delle Aziende sanitarie
Videosorveglianza 101 locali 128
Ufficio italiano cambi 128
Operazioni di trattamenti dei dati 108 Ufficio per la mediazione penale di Milano 128
Comunicazione e diffusione 108 Istituti scolastici e università 129
• Profili generali • Istituti scolastici
• Casi particolari • Università
- Aziende speciali Lavoro e previdenza 132
- Cassa italiana di previdenza • Profili generali
ed assistenza dei geometri • Collocamento
- Concessionari di servizi telefonici • Invalidità civile
- Condominio negli uffici • Note di qualifica e relazioni predisposte
- E.n.e.l. dal datore di lavoro
• Casi particolari
Trattamento per fini personali 112 • Agenzie regionali per l’impiego
• Cartellini identificativi dei dipendenti
Trasferimento dei dati all’estero 113 • Codici identificativi numerici dei
• Stati Uniti d’America dipendenti
• Svizzera • Dipendenti della pubblica

IV Massimario 1997/2001
Indice
amministrazione • Collocamento
• Indagini sul luogo di lavoro • Comuni e province
• Informazioni sul dipendente • Consigli dell’Ordine e provvedimenti
contenute in e-mail disciplinari
• I.n.p.g.i. • Dati reddituali dei contribuenti

• Istituti di patronato e assistenza sociale • Dipartimento di pubblica sicurezza

• Qualifiche lavorative e provvedimenti disciplinari


• Servizi informatici di postalizzazione • Enti locali siciliani e commissione

• Telecamere sui mezzi pubblici antimafia regionale


Sanità 144 • Forze di polizia

• Profili generali • Ordini professionali e conoscibilità dei dati

• Casi particolari contenuti negli albi


• Acquisizione di documentazione sanitaria • Questionari R.a.i.

da parte di società di assicurazioni • Regioni e federazioni sportive

• A.I.D.S. • Sistema statistico nazionale

• Attività sportiva agonistica • Sistemi di interconnessione telematica

• A.V.I.S. tra banche dati


• Cartelle cliniche • Titolari di cariche elettive e di incarichi

• Comunicazione dei dati all’interessato dirigenziali


• Consulenze e perizie medico legali • Uffici giudiziari

• Dati genetici

• Esercenti le professioni sanitarie Trattamenti particolari 175


• Istituti di patronato ed assistenza sociale C.e.d. del Dipartimento di pubblica sicurezza 175
• Pubblicazioni scientifiche Organismi di sicurezza 176
• Servizio sanitario delle Ferrovie dello Stato Casellario giudiziario e carichi pendenti 177
• Sperimentazione dei farmaci Trattamenti per ragioni di giustizia 177
• Uffici giudiziari
Operazioni di trattamento dei dati 159 • Consiglio superiore della magistratura
Comunicazione e diffusione 159 Prevenzione, accertamento e repressione
• Profili generali dei reati 181
• Casi particolari
• A.c.i. Natura pubblica dei soggetti 182
• Anagrafe delle prestazioni dei dipendenti

pubblici Regimi particolari di pubblicità degli atti 183


• Anagrafe e stato civile Casi particolari 183
• Agenzie regionali per l’impiego • Anagrafe e stato civile
• Appalti pubblici • Consiglio dell’Ordine degli avvocati
• Camere di commercio • Ordini professionali

Indice V
Indice
• Architetti Proposizione immediata del ricorso 207
• Assistenti sociali
• Dottori commercialisti Diritto di accesso 207
• Geometri Profili generali 207
• Medici Richiesta di accesso ai documenti
• Tecnici radiologi amministrativi 210
• Ragionieri e periti commerciali Accesso ai dati e accesso ai documenti 212
• Titolari di cariche elettive e di incarichi Registri, elenchi, atti o documenti
dirigenziali conoscibili da chiunque 215
• Albi dei tecnici radiologi
Consultazione del Garante da parte • Dati reddituali dei contribuenti
delle pubbliche amministrazioni 190 • Elenchi degli elettori dei comitati
degli italiani all’estero
• Elenchi telefonici
Telecomunicazioni e • Liste elettorali
reti telematiche 193 • Pubblicazioni di matrimonio
• Registro generale dei trattamenti
Profili generali 195 Casi particolari 219
• Anagrafe delle prestazioni dei
Casi particolari 195 dipendenti pubblici
Concessionari di servizi telefonici 195 • Anagrafe e stato civile
E-mail e spamming 196 • Centrali rischi private
Informazioni sul dipendente • Certificato di assistenza al parto
contenute in e-mail 196 • Concorsi pubblici
Pubblicità telefonica 196 • Consiglieri comunali e provinciali
Servezi informatici di postalizzazione 197 • Giornalisti ed editori
Servizi di posta elettronica ibrida • Interviste e dichiarazioni alla stampa
epistolare 197 • Istituti di patronato ed assistenza sociale
Sistemi di interconnessione • Lavoro e previdenza
telematica tra banche dati 198 • Operazioni di finanziamento
Utenze e traffico telefonico 198 • Perizie medico legali
• Pubblicità telefonica
• R.a.i.
Diritti dell’interessato 203 • Utenze e traffico telefonico

Modalità di esercizio 205 Blocco del trattamento 226


Dimostrazione dell’identità personale
da parte dell’interessato 205
Pluralità di titolari del trattamento 206

VI Massimario 1997/2001
Indice
Cancellazione, aggiornamento, rettifica • Preventiva adizione dell’A.g.o.
o integrazione dei dati 227 • Preventiva adizione del giudice amministrativo
• Proposizione immediata del ricorso
Opposizione al trattamento 230 Non luogo a provvedere 254
• Profili generali
Origine dei dati 232 • Non luogo a provvedere e instaurazione
di autonomo procedimento
Limiti all’esercizio dei diritti 233 • Tardivo riscontro all’istanza di accesso ai dati
Differimento 233 • Tutela di ulteriori diritti avanti l’A.g.o.
Intermediari e mercati creditizi e finanziari 236 Formalità del procedimento 256
Accoglimento o rigetto 257
• Profili generali
Tutela amministrativo - • Mera disponibilità del titolare a fornire i dati
giurisdizionale • Riscontro incompleto
Spese del procedimento 260
e sanzioni 239 • Accoglimento del ricorso e
compensazione delle spese
Ricorso al Garante 241
• Non luogo a provvedere sul ricorso
Inammissibilità 241
e compensazione delle spese
• Dati trattati dal C.e.d. del Dipartimento
• Non luogo a provvedere sul ricorso
di pubblica sicurezza
e condanna alle spese
• Diritti non azionabili con l’istanza
Estinzione del procedimento 262
di accesso ai dati
• Rinunzia agli atti
• Inammissibilità del ricorso e instaurazione
di autonomo procedimento
Alternatività della tutela dinanzi
• Incompetenza del Garante
al Garante 262
• Risarcimento danni

• Questioni di validità di un contratto


Instaurazione di un autonomo
• Legittimazione a ricorrere
procedimento 263
• Mancata autenticazione della sottoscrizione
in calce alla procura speciale
Segnalazioni e reclami 265
• Mancata indicazione del provvedimento
richiesto
• Mancato esperimento dell’istanza Tavola sinottica 269
di accesso ai dati
• Omessa allegazione dell’istanza
di accesso ai dati
• Omessa regolarizzazione del ricorso
• Pluralità di titolari del trattamento

Indice VII
Presentazione
Perché un Massimario

Con la pubblicazione del Massimario il Garante tiene fede ad un impegno pre-


so in occasione della Relazione dell’Autorità al Parlamento relativa all’anno 2001. In
quella sede si era evidenziata l’esigenza di affiancare, ai già numerosi strumenti di co-
municazione posti a disposizione del pubblico, un’opera sistematica, improntata a prin-
cipi tecnico-giuridici rigorosi, che consentisse una agevole conoscenza dell’ interpretazio-
ne dei principi e delle regole inerenti alla tutela della privacy da parte del Garante at-
traverso l’intensa elaborazione di una fitta serie di pronunce relativa alla risoluzione di
numerosissime controversie.

In cinque anni di attività è stata adottata infatti una mole imponente di prov-
vedimenti. In questa prima edizione dell’opera, gli autori (i magistrati, collocati fuori
ruolo presso il Garante per la protezione dei dati personali, Cons. Luigi Pecora e Dott.
Giuseppe Staglianò), nello svolgimento di un’attività che li ha impegnati per un lungo
periodo e in costante contatto con l’ufficio del Segretario generale, Cons. Giovanni But-
tarelli, hanno provveduto a ordinare e massimare i provvedimenti assunti dal Garante
a decorrere dal maggio 1997, anno in cui l’Autorità ha iniziato concretamente ad ope-
rare, e fino al dicembre 2001.

Si tratta di un patrimonio che viene oggi messo a disposizione del pubblico e si


propone di offrire un utile contributo per l’ applicazione della normativa in materia di
tutela della riservatezza, nonché di altri diritti fondamentali che con questa interagi-
scono.

Va rilevato che la stratificazione normativa e la evidente trasversalità della


disciplina, che tocca i settori più diversi, ha trovato ordine e chiarificazione nel testo
unico che entrerà in vigore il 1° gennaio 2004, di recente pubblicazione (d.lg. n.
196/2003): un vero e proprio Codice della privacy. E, inoltre, i codici deontologici
già adottati e quelli di prossima pubblicazione, fisseranno ulteriori principi per la va-
lutazione della legittimità dei trattamenti dei dati.

Presentazione 3
In questo articolato contesto normativo, caratterizzato da fonti di vario livello,
un’opera che offre un agevole ed agile accesso alla complessa attività svolta dal Garante
contribuisce concretamente alla realizzazione della effettività dei diritti tutelati, diffon-
dendone la consapevolezza, evidenziandone i limiti e chiarendo le modalità di tutela.

Le massime dei provvedimenti sono state redatte secondo una rigorosa tecnica
giuridica, analoga a quella utilizzata nei repertori di giurisprudenza, col proposito di
evidenziare con chiarezza i principi di diritto affermati in relazione alle norme appli-
cate. Apprezzabilmente, tuttavia, non si è trascurato di precisare, laddove si è reso ne-
cessario, la fattispecie giuridica concreta che ha dato luogo alla pronuncia.

Una cura particolare è stata poi dedicata alla classificazione dei provvedimen-
ti. Prendendo le mosse da una articolazione semplice, in sette grandi voci, si giunge, at-
traverso progressivi approfondimenti, a livelli di definizione più specifici, così, da ren-
dere possibile la ricerca anche di provvedimenti resi su argomenti molto particolari. Ci
si è poi preoccupati di evidenziare la trasversalità di numerosi provvedimenti che inte-
ressano settori diversi. La minuziosa classificazione, che utilizza anche la tecnica del rin-
vio a voci connesse o comunque interessate, consente di ottenere, con semplicità, una ri-
cerca completa.

Tali caratteristiche rendono questo strumento, oltre che esaustivo nei contenuti,
particolarmente duttile ed adattabile anche all’uso da parte di un utente non necessa-
riamente specializzato.

Il presente volume contiene una sintesi dei principi affermati dal Garante nel
corso del primo quinquennio di attività, ordinati secondo uno schema di classificazio-
ne e completati dei riferimenti necessari per reperire i singoli provvedimenti. Benché
non si tratti di un tradizionale massimario ufficiale nel senso vero e proprio del termi-
ne, e sia quindi consigliabile anche la lettura integrale dei provvedimenti per la com-
prensione di tutti i dettagli relativi ai singoli casi, il Garante intende promuoverne la
conoscenza anche attraverso altre fonti documentali. Per questo, l’attività di massima-
zione proseguirà; i risultati saranno consultabili anche mediante il sito web istituzio-
nale e i bollettini, e verranno costantemente aggiornati. L’aggiornamento periodico, pe-
raltro, oltre a rispondere all’ovvia esigenza di dar conto dell’evoluzione dell’attività
svolta dal Garante, trova la sua essenziale giustificazione nella mutevolezza e nell’am-
pliamento dei settori di intervento dell’attività dell’Autorità.

La rapida evoluzione delle tecnologie influenza l’intero mondo giuridico e nel-


l’arco di pochi anni la stipula di un contratto, la ricerca di un posto di lavoro, la stessa

4 Massimario 1997/2001
organizzazione della pubblica amministrazione nelle sue molteplici funzioni stanno ra-
dicalmente modificandosi.

Tali cambiamenti hanno un immediato riflesso nell’esigenza, sempre più av-


vertita, di essere tutelati da indesiderate ingerenze nella vita di tutti i giorni. Né sono
infrequenti gli usi impropri dei mezzi di telecomunicazione: dalle informazioni com-
merciali indesiderate via Internet, il c.d. spamming, ai quei messaggi sui telefoni cellu-
lari, scritti ed oggi anche per immagini (sms ed mms), che non si uniformano ai prin-
cipi basilari della privacy. È recente la normativa di recepimento della direttiva comu-
nitaria sul commercio elettronico, prossima l’emanazione di specifici codici deontologici
e già attuale una prima regolamentazione del settore da parte del Garante che è interve-
nuto con specifici provvedimenti generali.

È già accesa la discussione in sede internazionale sulle emergenti tematiche con-


nesse alla bioetica ed al trattamento dei dati genetici.

Non di minor rilievo è il ruolo dell’Autorità nell’assicurare un equo bilancia-


mento tra diritti egualmente meritevoli di tutela, quali quelli delle esigenze di sicurez-
za della collettività e delle tematiche connesse alla video sorveglianza.

Il Massimario dunque si propone come un work in progress, uno strumento


che coniuga la necessaria definizione di principi istituzionali della materia con l’esi-
genza, fortemente avvertita, di aderenza degli istituti stessi alle realtà normative, eco-
nomico-sociali o tecnologicamente innovative che sono in un continuo ciclo evolutivo.

IL GARANTE

Presentazione 5
Avvertenza
Le norme citate nel testo sono quelle in vigore all’epoca della pronuncia dei prov-
vedimenti da cui ciascuna massima è stata tratta. Attesa la recente emanazione del
“Codice in materia di protezione dei dati personali” (d.lg. 30 giugno 2003, n. 196),
le cui disposizioni entreranno in vigore il 1° gennaio 2004, al fine di agevolare la let-
tura alla pag. 265 viene riportata la tavola di corrispondenza tra le norme attual-
mente vigenti in materia di privacy e quelle del Codice destinate a sostituirle.
Categorie
e requisiti dei
dati personali

• Dato personale

• Dati giudiziari

• Dati sensibili

• Requisiti dei dati


Dato personale

Nozione
Affidabilità economica

Ai sensi della legge n. 675/1996, costituiscono dati personali del soggetto che chiede un
finanziamento le valutazioni sulla sua affidabilità economica che una società finanziaria pone a
base della decisione di rigetto della domanda. Tali motivazioni, quindi, possono essere oggetto
dell’istanza di accesso prevista dall’art. 13 della legge e del successivo ricorso al Garante pro-
posto ai sensi dell’art. 29.
• Garante 25 ottobre 2001, in Bollettino n. 23, pag. 91 (v. anche www.garanteprivacy.it: doc. n. 40305)

Dato anonimo

L’informazione originariamente non associabile ad uno specifico interessato (c.d. dato ano-
nimo) può divenire “dato personale” ex art. 1 della legge n. 675/1996 allorché, attraverso una
successiva operazione di collegamento ad informazioni di diversa natura, risulti comunque ido-
nea a rendere identificabile un soggetto. Ne consegue che, ai sensi dell’art. 27, comma 3 della
legge n. 675/1996, in mancanza di specifiche norme di legge o di regolamento, non può ritenersi
consentita la comunicazione a privati, da parte di un soggetto pubblico, di dati statistici appa-
rentemente anonimi, qualora il campione dei dati da analizzare, benché richiesto per scopi scien-
tifici e di ricerca, per genere e consistenza numerica, consenta di risalire ai diretti interessati.
• Garante 23 gennaio 1998, in Bollettino n. 3, pag. 24 (v. anche www.garanteprivacy.it: doc. n. 39568)

Non violano le disposizioni sulla protezione dei dati personali (in particolare, le prescri-
zioni impartite dal Garante con il Provvedimento generale del 29 novembre 2000) sistemi ed
apparecchiature di ripresa dislocate su spiagge – a fini promozionali, pubblicitari o di informa-
zione agli utenti – che, in ragione della distanza dal luogo ripreso o di altre caratteristiche tecni-
che, non consentano di identificare, anche indirettamente, gli interessati.
• Garante 14 giugno 2001, in Bollettino n. 21, pag. 43 (v. anche www.garanteprivacy.it: doc. n. 41782)

Elaborazioni automatizzate della personalità dell’interessato

L’art. 17 della legge n. 675/1996 non vieta la possibilità di avvalersi anche di elaborazioni

DATO PERSONALE> NOZIONE > 9


AFFIDABILITÀ ECONOMICA
automatizzate volte a definire il profilo o la personalità dell’interessato, bensì impedisce di
basare esclusivamente su tali elaborazioni l’atto o provvedimento da emanare.
• Garante 2 dicembre 1998, in Bollettino n. 6, pag. 97 (v. anche www.garanteprivacy.it: doc. n. 41826)

Informazioni cifrate

Le informazioni personali detenute in modo cifrato o, comunque, in forma non immediata-


mente leggibile da parte dell’incaricato del trattamento, purché ricollegabili ad una determinata
persona identificata o identificabile, costituiscono “dati personali” ai sensi dell’art. 1, comma 2,
lett. c), della legge n. 675/1996; ne consegue che, a seguito di rituale richiesta d’accesso, il tito-
lare del trattamento deve provvedere alla loro “messa in chiaro” al fine di consentirne un’agevole
comprensione da parte dell’interessato.
• Garante 21 novembre 2001, in Bollettino n. 23, pag. 69 (v. anche www.garanteprivacy.it: doc. n. 39773)

Informazioni pubblicate su rivista medica

Le riproduzioni di radiografie dell’interessato, accompagnate dall’indicazione del suo


nome di battesimo, alquanto inusuale nel contesto italiano, e della sua età, pubblicate su di una
rivista medica, debbono essere considerate “dato personale” ai sensi della legge n. 675/1996,
trattandosi di informazioni che, tenuto conto delle concrete circostanze del caso, possono con-
durre all’identificazione dell’interessato.
• Garante 15 ottobre 1998, in Bollettino n. 6, pag. 38 (v. anche www.garanteprivacy.it: doc. n. 39764)

Lavoro e previdenza
• V.: SOGGETTI PUBBLICI > SETTORI DI ATTIVITÀ > LAVORO E PREVIDENZA (P. 128)

Manifestazioni del pensiero

La legge n. 675/1996, che considera “dato personale” qualunque informazione che con-
senta l’identificazione del soggetto interessato, anche se derivante da suoni o immagini (es.: regi-
strazioni sonore, filmati, ecc.), riguarda tutte le operazioni di trattamento dei dati, a prescindere
dal fatto che le informazioni trattate siano contenute in una banca dati o in un archivio. Anche
un’intervista o un colloquio, quindi, come qualsiasi altra dichiarazione, opinione, o manifesta-
zione del pensiero proveniente dall’interessato (uno scritto, un saggio, un articolo, ecc.), costitui-

10 Massimario 1997/2001 • Categorie e requisiti dei dati personali


scono informazioni che riguardano la sua persona e come tali “dati personali”, essendo del tutto
irrilevante la forma in cui sono trattate o gli eventuali supporti che le contengono. Ne consegue
che l’interessato ha pieno diritto di ottenere dall’editore di un quotidiano e dal giornalista autore
dell’articolo la comunicazione, in una forma chiaramente intelligibile (es.: attraverso riproduzione
su supporto sonoro o cartaceo), della registrazione di una propria intervista rilasciata al giornale
e poi divenuta oggetto dell’articolo.
• Garante 26 novembre 1998, in Bollettino n. 6, pag. 32 (v. anche www.garanteprivacy.it: doc. n. 40029)

Perizie medico legali

Le perizie medico legali comprendono dati personali del paziente interessato sia nelle parti
dove vengono riportati dati identificativi, riscontri di visite mediche ed i c.d. esami obiettivi, sia
nella parte conclusiva che comprende generalmente le valutazioni soggettive del perito fiducia-
rio: infatti, trattasi di un complesso di informazioni che, pur nella sua eterogeneità, fornisce un
insieme di elementi informativi, diretti e indiretti, sul soggetto interessato, sulle sue eventuali
patologie e sul rapporto fra esse ed altri eventi di vita del medesimo, con la conseguenza che tali
dati ricadono nell’ambito di applicazione della legge n. 675/1996.
• Garante 13 ottobre 1999, in Bollettino n. 11/12, pag. 61 (v. anche www.garanteprivacy.it: doc. n. 42098)
• Garante 30 dicembre 1999, in Bollettino n. 11/12, pag. 66 (v. anche www.garanteprivacy.it: doc. n. 40847)

Il concetto di “dato personale” comprende ogni notizia, informazione o elemento che abbia
un’efficacia informativa tale da fornire un contributo di conoscenza rispetto ad un soggetto iden-
tificato o identificabile; in esso rientrano non solo le informazioni oggettivamente caratterizzate,
ma anche i giudizi, le analisi e le valutazioni, come, ad esempio, le perizie redatte da professio-
nisti sanitari.
• Garante 13 ottobre 1999, in Bollettino n. 11/12, pag. 61 (v. anche www.garanteprivacy.it: doc. n. 42098)
• Garante 30 dicembre 1999, in Bollettino n. 11/12, pag. 66 (v. anche www.garanteprivacy.it: doc. n. 40847)

Le perizie medico legali possono contenere dati personali dell’interessato, il cui tratta-
mento ricade nell’ambito di applicazione della legge n. 675/1996, sia nelle parti dove vengono
riportati dati identificativi, riscontri di visite mediche e di c.d. esami obiettivi, sia nella parte con-
clusiva che comprende spesso le valutazioni del perito relative all’interessato.
• Garante 28 dicembre 2000, in Bollettino n. 16, pag. 12 (v. anche www.garanteprivacy.it: doc. n. 30963)

Costituiscono dati personali dell’interessato, oggetto dell’istanza di accesso ai sensi del-


l’art. 13 della legge n. 675/1996 e del successivo ricorso di cui all’art. 29 della legge, non solo i
dati di tipo oggettivo, ma anche quelli di tipo valutativo contenuti in una perizia medico legale

DATO PERSONALE> NOZIONE > 11


PERIZIE MEDICO LEGALI
redatta dal consulente di fiducia di una società assicurativa, in quanto anch’essi suscettibili di
fornire elementi informativi, diretti ed indiretti, sull’interessato, le sue eventuali patologie e le
loro possibili correlazioni con eventi ulteriori.
• Garante 17 gennaio 2001, in Bollettino n. 16, pag. 20 (v. anche www.garanteprivacy.it: doc. n. 38925)
• Garante 19 febbraio 2001, in Bollettino n. 17, pag. 16 (v. anche www.garanteprivacy.it: doc. n. 40505)
• Garante 14 marzo 2001, in Bollettino n. 18, pag. 15 (v. anche www.garanteprivacy.it: doc. n. 39564)
• Garante 26 marzo 2001, in Bollettino n. 18, pag. 12 (v. anche www.garanteprivacy.it: doc. n. 40707)
• Garante 19 aprile 2001, in Bollettino n. 19, pag. 15 (v. anche www.garanteprivacy.it: doc. n. 39801)
• Garante 3 maggio 2001, in Bollettino n. 20, pag. 20 (v. anche www.garanteprivacy.it: doc. n. 39272)
• Garante 3 maggio 2001, in Bollettino n. 20, pag. 28 (v. anche www.garanteprivacy.it: doc. n. 41810)
• Garante 8 maggio 2001, in Bollettino n. 20, pag. 17 (v. anche www.garanteprivacy.it: doc. n. 39284)
• Garante 17 maggio 2001, in Bollettino n. 20, pag. 13 (v. anche www.garanteprivacy.it: doc. n. 42232)
• Garante 24 settembre 2001, in Bollettino n. 22, pag. 44 (v. anche www.garanteprivacy.it: doc. n. 39889)
• Garante 27 dicembre 2001, in Bollettino n. 23, pag. 64 (v. anche www.garanteprivacy.it: doc. n. 42130)

Devono ricomprendersi nel concetto di dato personale di cui all’art. 1 della legge
n. 675/1996 le informazioni contenute nelle perizie medico legali redatte sulla persona del dan-
neggiato su incarico delle compagnie di assicurazione, formulate in forma di valutazioni o giudizi
espressi sull’invalidità o sull’inabilità dell’interessato.
• Garante 22 gennaio 2001, in Bollettino n. 16, pag. 17 (v. anche www.garanteprivacy.it: doc. n. 39961)

Rilevazioni biometriche
• V.: PRIVATI ED ENTI PUBBLICI ECONOMICI > SETTORI DI ATTIVITÀ > BIOMETRIA (P. 92)

Servizi di posta elettronica ibrida epistolare


• V.: TELECOMUNICAZIONI E RETI TELEMATICHE > CASI PARTICOLARI > SERVIZI DI POSTA IBRIDA EPISTOLARE (P. 193)

Suoni e immagini

La raccolta delle foto segnaletiche da parte degli organi di polizia è finalizzata esclusiva-
mente ad esigenze di sicurezza pubblica e di giustizia; ne consegue che, ove la comunicazione
di dette foto ai mezzi d’informazione avvenga al di fuori di tali finalità, deve ritenersi violata la
legge n. 675/1996 che, all’art. 1, qualifica esplicitamente come “dato personale” qualsiasi infor-
mazione idonea a consentire l’identificazione di un soggetto.
• Garante 2 luglio 1997, in Bollettino n. 1, pag. 62 (v. anche www.garanteprivacy.it: doc. n. 38985)

12 Massimario 1997/2001 • Categorie e requisiti dei dati personali


La legge n. 675/1996 considera come “dato personale” qualunque informazione che con-
senta l’identificazione dei soggetti interessati anche attraverso suoni e immagini, ed anche se in
via indiretta, mediante il collegamento con altre informazioni. La legge è applicabile anche ai
trattamenti di suoni e immagini effettuati attraverso sistemi di videosorveglianza, a prescindere
dalla circostanza che tali informazioni, dopo il loro monitoraggio in un circuito di controllo, siano
eventualmente registrate in un archivio elettronico o comunicate a terzi.
• Garante 17 dicembre 1997, in Bollettino n. 2, pag. 57 (v. anche www.garanteprivacy.it: doc. n. 39849)

La direttiva comunitaria n. 95/46/CE, la convenzione n. 108/1981 del Consiglio d’Europa e


la legge n. 675/1996, che ha attuato la convenzione ed ha in buona parte recepito la direttiva,
rendono obbligatoria l’applicazione della disciplina sul trattamento dei dati personali anche ai
suoni e alle immagini – quali quelle registrate nei controlli video – che consentano di identificare
un soggetto, anche in via indiretta, attraverso il collegamento con altre informazioni.
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 139 (v. anche www.garanteprivacy.it: doc. n. 40361)

La direttiva comunitaria n. 95/46/CE e la convenzione n. 108/1981 del Consiglio d’Europa


rendono obbligatoria l’applicazione della disciplina sul trattamento dei dati personali anche ai
suoni e alle immagini (quali quelle registrate nei controlli video), qualora permettano d’identifi-
care un soggetto anche in via indiretta. La legge n. 675/1996, che ha attuato detta convenzione
e, in buona parte, ha recepito la citata direttiva, considera anch’essa come “dato personale” qua-
lunque informazione – anche cifrata o codificata – che permetta l’identificazione, anche in via
indiretta, dei soggetti interessati, ivi compresi i suoni e le immagini. Pertanto, allo stato, stante
la carenza nel sistema italiano di una disciplina specifica in materia di videosorveglianza, ai trat-
tamenti di immagini effettuati attraverso sistemi di controllo è senz’altro applicabile la legge n.
675/1996.
• Garante 23 marzo 1999, in Bollettino n. 8, pag. 57 (v. anche www.garanteprivacy.it: doc. n. 40899)

La direttiva comunitaria n. 95/46/CE e la convenzione n. 108/1981 del Consiglio d’Europa


rendono obbligatoria l’applicazione della disciplina sul trattamento dei dati personali anche ai
suoni e alle immagini – quali quelle registrate nei controlli video –, qualora permettano di iden-
tificare un soggetto anche in via indiretta, attraverso il collegamento con altre informazioni. La
legge n. 675/1996, che ha attuato la convenzione e ha in buona parte recepito la direttiva euro-
pea, considera anch’essa come “dato personale” qualunque informazione che permetta l’identi-
ficazione, anche in via indiretta, dei soggetti interessati, sebbene derivante da suoni o da imma-
gini anziché da dati alfanumerici; tale legge è, quindi, senz’altro applicabile anche ai trattamenti
di immagini effettuati attraverso i sistemi di videosorveglianza, a prescindere dalla circostanza
che le informazioni così ricavate siano eventualmente registrate in un archivio elettronico o
comunicate a terzi, dopo il loro temporaneo monitoraggio in un circuito di controllo.
• Garante 21 ottobre 1999, in Bollettino n. 10, pag. 80 (v. anche www.garanteprivacy.it: doc. n. 42288)

DATO PERSONALE> NOZIONE > 13


SUONI ED IMMAGINI
La legge n. 675/1996 definisce “dato personale” qualunque informazione relativa a per-
sone identificate o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra
informazione. Ne consegue che debbono essere considerati dati di carattere personale anche le
registrazioni effettuate mediante l’uso di telecamere che, per l’ampiezza dell’angolo visuale, la
qualità degli strumenti, o altre caratteristiche della ripresa, pur non rendendo direttamente iden-
tificabili in maniera chiara ed univoca le persone inquadrate, ne permettano l’identificazione
attraverso il collegamento con altre fonti conoscitive, quali foto segnaletiche, identikit o archivi
di polizia contenenti immagini.
• Garante 21 ottobre 1999, in Bollettino n. 10, pag. 80 (v. anche www.garanteprivacy.it: doc. n. 42288)

Le registrazioni effettuate mediante l’uso di telecamere non contengono sempre e neces-


sariamente dati di carattere personale, in quanto la distanza, l’ampiezza dell’angolo visuale e la
qualità degli strumenti possono non rendere identificabili le persone inquadrate; comunque, ciò
non esclude l’applicazione della normativa sulla tutela della riservatezza, in quanto l’art. 1 della
legge n. 675/1996 definisce “dato personale” qualunque informazione relativa a persone identi-
ficate o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione
(ad esempio, attraverso il collegamento con altre fonti conoscitive quali foto segnaletiche, iden-
tikit o archivi di polizia contenenti immagini).
• Garante 17 febbraio 2000, in Bollettino n. 11/12, pag. 73 (v. anche www.garanteprivacy.it: doc. n. 40041)
• Garante 7 marzo 2000, in Bollettino n. 11/12, pag. 76 (v. anche www.garanteprivacy.it: doc. n. 30987)

La legge n. 675/1996 è applicabile anche ai trattamenti di immagini effettuati attraverso


sistemi di videosorveglianza, a prescindere dalla circostanza che le informazioni siano registrate
in un archivio elettronico o comunicate a terzi dopo il temporaneo monitoraggio in un circuito di
controllo.
• Garante 17 febbraio 2000, in Bollettino n. 11/12, pag. 73 (v. anche www.garanteprivacy.it: doc. n. 40041)
• Garante 7 marzo 2000, in Bollettino n. 11/12, pag. 76 (v. anche www.garanteprivacy.it: doc. n. 30987)

Le regole della disciplina sul trattamento dei dati personali poste dalla legge n. 675/1996
sono applicabili anche alle immagini ed ai suoni, qualora le apparecchiature che li rilevano per-
mettano di identificare, in modo diretto o indiretto, i soggetti interessati.
• Garante 29 novembre 2000, in Bollettino n. 14/15, pag. 28 (v. anche www.garanteprivacy.it: doc. n. 31019)

Anche le fotografie, ove reso possibile dalla loro specificità, possono contenere dati per-
sonali ai sensi dell’art. 1 della legge n. 675/1996 e possono essere quindi oggetto delle tutele
previste dall’art. 13 della legge.
• Garante 4 gennaio 2001, in Bollettino n. 16, pag. 23 (v. anche www.garanteprivacy.it: doc. n. 41119)

14 Massimario 1997/2001 • Categorie e requisiti dei dati personali


L’interessato che, nell’esercizio dei diritti di cui all’art. 13 della legge n. 675/1996, richieda
al titolare del trattamento (nella specie una società assicurativa) il rilascio di copia delle fotogra-
fie scattate a seguito di un sinistro e riproducenti lo stato dei luoghi, è gravato dall’onere di dimo-
strare che nella documentazione fotografica siano riportate informazioni che possano essere con-
siderate alla stregua di suoi dati personali ai sensi dell’art. 1, comma 2, lett. c) della legge.
• Garante 8 novembre 2001, in Bollettino n. 23, pag. 67 (v. anche www.garanteprivacy.it: doc. n. 38909)

Le immagini di una persona acquisite con un impianto di videosorveglianza costituiscono


dati personali ai sensi dell’art. 1, comma 2, lett. c), della legge n.. 675/1996, con conseguente
possibilità per l’interessato di proporre l’istanza di cui all’art. 13 della legge nei confronti del tito-
lare o del responsabile del trattamento.
• Garante 19 dicembre 2001, in Bollettino n. 23, pag. 40 (v. anche www.garanteprivacy.it: doc. n. 40085)

Utenze e traffico telefonico


• V.: TELECOMUNICAZIONI E RETI TELEMATICHE > CASI PARTICOLARI > UTENZE E TRAFFICO TELEFO-
NICO (P.194)

Visite mediche specialistiche

Anche le informazioni di carattere personale relative ad una minore e i disegni da questa


redatti, raccolti da un medico neuropsichiatra negli appunti presi nel corso di una visita specia-
listica, costituiscono oggetto del diritto di accesso da parte dell’interessato (nella specie, un
genitore della minore) azionabile ai sensi degli artt. 13 e 29 della legge n. 675/1996.
• Garante 28 novembre 2001, in Bollettino n. 23, pag. 57 (v. anche www.garanteprivacy.it: doc. n. 40353)

Dati giudiziari
Le informazioni relative ai procedimenti amministrativi, disciplinari e giurisdizionali instau-
rati nei confronti di un interessato non rientrano nell’ambito di applicazione dell’art. 24 della
legge n. 675/1996, che concerne esclusivamente i dati idonei a rivelare taluni provvedimenti giu-
diziari di carattere penale (e cioè quelli previsti dall’art. 686, commi 1, lettere a) e d), 2 e 3 c.p.p.).
• Garante 28 aprile 1999, in Bollettino n. 8, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 39712)

DATO PERSONALE> NOZIONE > 15


UTENZE E TRAFFICO TELEFONICO
Ai fini del trattamento dei dati sensibili e di carattere giudiziario, i soggetti pubblici devono
procedere alla notificazione una tantum in forma semplificata ex art. 7, comma 5 bis della legge
n. 675/1996, ad eccezione dei trattamenti finalizzati all’adempimento di specifici obblighi con-
tabili, retributivi, previdenziali, assistenziali e fiscali, per i quali, invece, vale l’esonero stabilito
dal comma 5 ter, lett. e) dello stesso articolo. Ove dovuta, la notificazione dev’essere redatta
secondo il modello approvato dal Garante.
• Garante 14 maggio 1999, in Bollettino n. 8, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 38977)

La disciplina introdotta dal d.lg. n. 135/1999 rende ammissibile il trattamento dei dati di
carattere giudiziario da parte delle amministrazioni pubbliche nell’ambito del rapporto di lavoro
e, in particolare, per svolgere attività dirette all’accertamento della responsabilità disciplinare
dei dipendenti (art. 9, comma 2, lett. g).
• Garante 12 luglio 1999, in Bollettino n. 9, pag. 51 (v. anche www.garanteprivacy.it: doc. n. 39660)

L’art. 24 della legge n. 675/1996 prevede particolari garanzie per il trattamento dei dati di
carattere giudiziario, in riferimento, però, non a tutti gli atti di natura giudiziaria, ma ai soli prov-
vedimenti puntualmente elencati nell’art. 686, commi 1, lett. a) e d), 2 e 3, c.p.p.; la sentenza
applicativa di una pena detentiva su richiesta delle parti non rientra tra tali provvedimenti.
• Garante 12 luglio 1999, in Bollettino n. 9, pag. 51 (v. anche www.garanteprivacy.it: doc. n. 39660)

L’annotazione inserita dalla Direzione generale per il personale militare, sul documento
matricolare di un ufficiale della Marina militare, della decisione adottata nei suoi confronti dal
giudice per l’udienza preliminare, come pure la trasmissione del documento all’ufficio presso il
quale il militare presta servizio, al fine dell’espletamento di una pratica stipendiale, non com-
portano violazione dell’art. 24 della legge n. 675/1996. Il d.lg. n. 135/1999, all’art. 9, rende infatti
lecito il trattamento dei dati personali relativi ai provvedimenti giudiziari menzionati nell’art. 24
della legge, ove effettuato per finalità di gestione del rapporto di lavoro.
• Garante 6 febbraio 2001, in Bollettino n. 17, pag. 30 (v. anche www.garanteprivacy.it: doc. n. 40615)

Dati sensibili

Profili generali
Ai fini del trattamento dei dati sensibili, le pubbliche amministrazioni (nel caso specifico i
comuni), a differenza di quanto previsto per i soggetti privati, non sono tenute a richiedere né il
consenso scritto dei singoli interessati né l’autorizzazione preventiva del Garante, essendo suf-

16 Massimario 1997/2001 • Categorie e requisiti dei dati personali


ficiente, ai sensi dell’art. 22, comma 3 della legge n. 675/1996, l’esistenza di un’espressa dis-
posizione di legge che, nell’autorizzare il trattamento, specifichi i dati che possono essere trat-
tati, le operazioni eseguibili e le rilevanti finalità d’interesse pubblico perseguite.
• Garante 13 marzo 1998, in Bollettino n. 4, pag. 62 (v. anche www.garanteprivacy.it: doc. n. 40557)

Il quadro normativo delineato dalla legge n. 675/1996 in tema di diffusione di dati sensibili nel-
l’esercizio dell’attività di giornalista ha lasciato inalterata l’esigenza del rispetto, soprattutto in
ordine all’essenzialità dell’informazione rispetto a fatti di interesse pubblico, di alcuni limiti posti al
diritto di cronaca a tutela della riservatezza, suscettibili d’integrazione da parte del codice deonto-
logico di settore, previsto dall’art. 25 della legge.
• Garante 30 marzo 1998, in Bollettino n. 4, pag. 28 (v. anche www.garanteprivacy.it: doc. n. 42220)

I soggetti pubblici, a differenza dei soggetti privati e degli enti pubblici economici, non devono
acquisire il consenso scritto degli interessati per poter trattare i dati sensibili, in quanto per essi le
garanzie in favore degli interessati debbono essere basate non sul consenso ma su una puntuale dis-
posizione di legge che specifichi i tipi dei dati che possono essere trattati, le operazioni eseguibili e
le rilevanti finalità di interesse pubblico perseguite.
• Garante 27 maggio 1998, in Bollettino n. 4, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40691)

I soggetti pubblici, a differenza dei privati e degli enti pubblici economici, non devono richie-
dere il consenso degli interessati e l’autorizzazione del Garante per poter trattare dati sensibili ma,
ai sensi dell’art. 22, comma 3 della legge n. 675/1996, come modificato dal d.lg. n. 135/1999, devono
verificare che tali trattamenti siano conformi a puntuali disposizioni di legge che specifichino i tipi
dei dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pub-
blico perseguite (principio espresso in risposta a un quesito posto da una pubblica amministrazione
relativo al trattamento dei dati sensibili dei propri dipendenti per la gestione del rapporto di lavoro).
• Garante 9 giugno 1999, in Bollettino n. 9, pag. 18 (v. anche www.garanteprivacy.it: doc. n. 39184)

Ai sensi dell’art. 27 della legge n. 675/1996 nonché, per quanto riguarda i dati sensibili, del-
l’art. 22 della legge e della disciplina introdotta dal d.lg. n. 135/1999, è legittimo il trattamento dei
dati personali effettuato dal Consiglio della Provincia autonoma di Trento in relazione alla nomina
o designazione di componenti di altri organismi, di competenza diretta dello stesso Consiglio o
mediante indicazione di singoli consiglieri o di gruppi consiliari, fermo restando l’obbligo del
rispetto dei principi posti dalla legge n. 675/1996, in particolare in tema di informativa all’inte-
ressato (art. 10), di misure di sicurezza (art. 15), nonché degli altri requisiti di legittimità dei dati
(art. 9).
• Garante 15 luglio 1999, in Bollettino n. 9, pag. 69 (v. anche www.garanteprivacy.it: doc. n. 30887)

DATI SENSIBILI> PROFILI GENERALI > 17


Il d.lg. n. 135/1999 ha considerato le finalità di elargizione di contributi previsti dalla nor-
mativa in materia di usura e antiracket fra quelle di rilevante interesse pubblico, per le quali è
consentito il trattamento di dati sensibili da parte di soggetti pubblici.
• Garante 30 novembre 1999, in Bollettino n. 10, pag. 25 (v. anche www.garanteprivacy.it: doc. n. 38973)

In base alle disposizioni introdotte dal d.lg. n. 135/1999, i soggetti pubblici possono com-
piere sui dati sensibili soltanto le operazioni di trattamento – incluse la raccolta e la comunica-
zione – strettamente necessarie per perseguire i singoli scopi, verificando anche periodica-
mente la pertinenza e non eccedenza delle informazioni utilizzate, nonché la loro necessità
rispetto alle finalità perseguite nei singoli casi (artt. 3 e 4); inoltre, i dati idonei a rivelare lo
stato di salute o la vita sessuale devono essere conservati separatamente da ogni altro dato
personale trattato per finalità che non richiedono il loro utilizzo e, ove contenuti in banche dati,
elenchi o registri non cartacei, al pari degli altri dati sensibili debbono essere trattati con tec-
niche di cifratura o mediante l’utilizzazione di codici identificativi o di altri sistemi che, tenuto
conto del numero e della natura dei dati trattati, permettono di identificare gli interessati solo
in caso di necessità.
• Garante 1 dicembre 1999, in Bollettino n. 11/12, pag. 14 (v. anche www.garanteprivacy.it: doc. n. 40731)

A seguito dell’entrata in vigore del d.lg. n. 135/1999, le amministrazioni pubbliche, nel trat-
tare i dati sensibili, sono tenute non solo a verificare il costante rispetto dei diritti, delle libertà
fondamentali e della dignità degli interessati, ma anche a provvedere affinché i dati idonei a rive-
lare lo stato d’invalidità siano trattati solo quando non sia possibile effettuare altrimenti i singoli
adempimenti o passaggi procedurali volti al riconoscimento dei benefici. Nello svolgimento dei
compiti in materia di invalidità civile, anche per ciò che riguarda verifiche e controlli, le ammini-
strazioni non incontrano alcun ostacolo nella normativa sui dati personali: esse, però, sono
tenute a modulare con particolare attenzione la raccolta, la custodia e i flussi di dati, indivi-
duando anche nei riguardi di quali fasi e di quali documenti o soggetti sia realmente essenziale
menzionare in tutto o in parte alcune informazioni sullo stato di salute.
• Garante 1 dicembre 1999, in Bollettino n. 11/12, pag. 14 (v. anche www.garanteprivacy.it: doc. n. 40731)

Per il trattamento dei dati aventi natura sensibile, i soggetti pubblici non devono acquisire
il consenso degli interessati o rispettare l’autorizzazione del Garante, ma debbono piuttosto
attenersi al disposto dell’art. 22, commi 3 e 3 bis, della legge n. 675/1996, come modificato dal
d.lg. n. 135/1999, che consente il trattamento di tali dati solo se autorizzato da espresse dispo-
sizioni normative che specifichino i dati che possono essere trattati, le operazioni eseguibili e le
rilevanti finalità di interesse pubblico perseguite.
• Garante 20 giugno 2000, in Bollettino n. 13, pag. 27 (v. anche www.garanteprivacy.it: doc. n. 39065)

18 Massimario 1997/2001 • Categorie e requisiti dei dati personali


Nelle autorizzazioni generali il Garante ha disposto di non prendere in considerazione
richieste di autorizzazione al trattamento di dati sensibili da effettuarsi in difformità dalle pre-
scrizioni contenute nelle medesime autorizzazioni generali, salvo che il loro accoglimento sia
giustificato da circostanze del tutto particolari o da situazioni eccezionali non considerate nelle
autorizzazioni stesse (nella specie, il Garante ha accolto la richiesta di un’azienda limitatamente
all’autorizzazione a trattare, a precise condizioni, i dati sensibili, diversi da quelli idonei rivelare
lo stato di salute e la vita sessuale, ai soli fini della gestione degli ordini dei clienti).
• Garante 5 dicembre 2000, in Bollettino n. 14/15, pag. 10 (v. anche www.garanteprivacy.it: doc. n. 39204)

Dati idonei a rivelare l’adesione a sindacati


Indirizzari per la spedizione di periodici tramite abbonamento
postale

In relazione alle modalità di tenuta, da parte di un’associazione professionale a carattere


culturale e sindacale, di un “indirizzario” per la trasmissione di un periodico mensile mediante
abbonamento postale, occorre distinguere a seconda che detto periodico venga spedito solo
agli iscritti all’associazione ovvero agli abbonati anche a prescindere dalla loro eventuale iscri-
zione. Infatti, mentre nel primo caso i dati personali relativi agli abbonati, in quanto idonei a
rilevare l’adesione ad un’associazione sindacale, hanno natura “sensibile” e, quindi, possono
essere trattati soltanto dietro acquisizione del consenso scritto dell’interessato e previo rila-
scio di apposita autorizzazione da parte del Garante, nel secondo caso tali dati sono soltanto
“comuni” e, pertanto, salva l’ipotesi che si tratti di dati conoscibili da chiunque, possono
essere trattati solo a seguito di adeguata informativa e di rilascio del consenso orale da parte
dell’interessato, purché documentato per iscritto (anche su modulo predisposto dal titolare del
trattamento).
• Garante 27 marzo 1998, in Bollettino n. 4, pag. 30 (v. anche www.garanteprivacy.it: doc. n. 41922)

Dati idonei a rivelare l’appartenenza etnica


L’art. 7 del d.lg. n. 135/1999 disciplina espressamente la condizione dello straniero, consi-
derando di rilevante interesse pubblico le attività dirette all’applicazione della normativa in
materia di cittadinanza, di immigrazione, di asilo, di condizione dello straniero e di profugo e
sullo stato di rifugiato. Pertanto, per quanto attiene alla possibilità per gli organismi socio-assi-
stenziali di comunicare dati dei minori stranieri ad organi dei Paesi di provenienza ai fini del rim-
patrio dei minori stessi, è applicabile la disciplina prevista dall’art. 28, comma 4, lett. c), della
legge n. 675/1996.
• Garante 23 maggio 2000, in Bollettino n. 13, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40229)

DATI SENSIBILI> DATI IDONEI A RIVELARE L’ADESIONE A SINDACATI > 19


INDIRIZZARI PER LA SPEDIZIONE DI PERIODICI TRAMITE ABBONAMENTO POSTALE
Le disposizioni normative riguardanti le informazioni idonee a rivelare l’appartenenza
etnica dei cittadini residenti nel territorio della provincia di Bolzano – c.d. “proporzionale
etnica” – debbono rispettare, anche in occasione del censimento generale della popolazione, i
principi stabiliti dalla legge n. 675/1996 in materia di dati sensibili (art. 22), nonché quelli posti
dal d.lg. n. 135/1999 in tema di trattamento di dati sensibili da parte di soggetti pubblici e del
d.P.R. n. 318/1999 emesso, in attuazione dell’art. 15, comma 2, della legge n. 675/1996, in
materia di misure minime di sicurezza.
• Garante 6 febbraio 2001, in Bollettino n. 17, pag. 11 (v. anche www.garanteprivacy.it: doc. n. 40943)

Il Garante, richiesto dalla Presidenza del Consiglio dei Ministri - Dipartimento per gli Affari
regionali – di esprimere un parere sullo schema relativo alle “Norme di attuazione dello Statuto
Speciale per la Regione Trentino-Alto Adige in materia di adeguamento di alcune norme in vigore
ai principi di tutela dei dati personali sensibili relativi all’origine etnica”, ha evidenziato che tale
obiettivo non può prescindere da un ripensamento più generale dell’attuale disciplina in mate-
ria di appartenenza e di aggregazione linguistica, la quale, pur essendo diretta a tutelare alcune
minoranze (c.d. “proporzionale etnica”), obbliga però un intero arco di popolazione a formulare
dichiarazioni dalle quali scaturiscono dati di natura sensibile. Pertanto, nel richiamare i principi
già fissati in materia (cfr. provv. Garante 6 febbraio 2001, in Bollettino n. 17, sul trattamento dei
dati personali relativi alle dichiarazioni di appartenenza o di aggregazione ad uno dei tre gruppi
linguistici nella provincia di Bolzano), il Garante, pur esprimendo – entro certi limiti – parere favo-
revole sullo schema normativo predisposto, con separato provvedimento ha svolto ulteriori con-
siderazioni in relazione ai profili di pertinenza e non eccedenza dei dati raccolti ed ai possibili
effetti derivanti da un uso non sufficientemente regolato di dette dichiarazioni, ribadendo l’esi-
stenza di obblighi sostanziali a carico dei soggetti pubblici scaturenti dalle cogenti prescrizioni
contenute nella legge n. 675/1996. Di conseguenza, il Garante, ai sensi dell’art. 31, comma 1,
lett. m), ha segnalato al Governo la necessità di adeguare il quadro normativo di riferimento ai
principi in questione, formulando anche alcuni suggerimenti in relazione al sistema di raccolta
ed utilizzo dei dati.
• Garante 28 settembre 2001, in Bollettino n. 22, pag. 16/19 (v. anche www.garanteprivacy.it: doc. n. 41870)

Dati idonei a rivelare convinzioni religiose

Registri dei battezzati

La persona che si professa atea può ottenere, anche attraverso il ricorso al Garante, di ren-
dere palese tale sua convinzione attraverso la rettificazione o aggiornamento dei dati personali
conservati nei registri parrocchiali dei battezzati, realizzati per mezzo di un’annotazione a mar-
gine del dato da rettificare o con la allegazione all’atto stesso della richiesta di rettifica.
• Garante 13 settembre 1999, in Bollettino n. 9, pag. 54 (v. anche www.garanteprivacy.it: doc. n. 30887)

20 Massimario 1997/2001 • Categorie e requisiti dei dati personali


Il registro di battesimo che riporta i dati di una persona che si professa atea non contiene
dati trattati illecitamente, né notizie inesatte o incomplete, in quanto documenta correttamente
un evento – il battesimo – realmente avvenuto. La registrazione del battesimo, inoltre, non costi-
tuisce solo un dato relativo all’aderente, ma rappresenta un aspetto della vita – ed anche un dato
– dell’organismo che lo detiene, il quale non può cancellare la traccia di un avvenimento che sto-
ricamente l’ha riguardato, se non a costo di modificare la stessa rappresentazione della propria
realtà. Ne consegue che è infondata, e non può pertanto essere accolta, la richiesta dell’interes-
sato, contenuta nel ricorso proposto al Garante ai sensi dell’art. 29 della legge n. 675/1996, di
vedere cancellati il proprio nominativo e la data del battesimo ricevuto dai registri parrocchiali
dei battezzati.
• Garante 13 settembre 1999, in Bollettino n. 9, pag. 54 (v. anche www.garanteprivacy.it: doc. n. 30887)

Dati idonei a rivelare opinioni politiche


Elenchi di sottoscrittori di liste elettorali

Secondo le disposizioni introdotte dal d.lg. n. 135/1999 che, in materia di trattamento di


dati sensibili da parte di soggetti pubblici, ha integrato le disposizioni poste dall’art. 22 della
legge n. 675/1996, nell’ambito delle attività in materia di elettorato e altri diritti politici sono
consentiti solo i trattamenti finalizzati all’esecuzione di specifici compiti previsti da leggi o
regolamenti (art. 8, comma 1 e 3); tra tali compiti, può essere ricompresa la comunicazione a
soggetti determinati dei dati e delle informazioni in possesso delle amministrazioni pubbliche
ai sensi della normativa sul diritto di accesso, nei limiti e alle condizioni ivi previsti (art. 22 della
legge n. 241/1990). I trattamenti in questione devono, peraltro, essere effettuati nel rispetto dei
principi fissati dalla legge n. 675/1996 e dallo stesso d.lg. n. 135/1999 e, in particolare, di quelli
di pertinenza ed essenzialità dei dati trattati e del rispetto della finalità perseguita (art. 9 della
legge n. 675/1996 e artt. 1 - 4 del d.lg n. 135/1999); in tal senso, appare legittimo il rilascio del-
l’elenco dei sottoscrittori di una lista elettorale esclusivamente a soggetti che intendano ser-
virsene per l’esercizio dei diritti politici (es.: nel caso che la richiesta pervenga da candidati
appartenenti a liste concorrenti).

• Garante 9 giugno 1999, in Bollettino n. 9, pag. 71 (v. anche www.garanteprivacy.it: doc. n. 40779)

Partiti politici

L’iscrizione ad un partito politico costituisce di per sé un dato sensibile, con conseguente


necessità, per il titolare del trattamento, di rendere un’idonea informativa ai sensi dell’art. 10
della legge n. 675/1996 e, per l’interessato, di prestare espresso consenso scritto al trattamento
dei dati personali.
• Garante 8 gennaio 1998, in Bollettino n. 3, pag. 22 (v. anche www.garanteprivacy.it: doc. n. 39264)

DATI SENSIBILI> DATI IDONEI A RIVELARE OPINIONI POLITICHE > 21


ELENCHI DI SOTTOSCRITTORI DI LISTE ELETTORALI
Affinché il trattamento dei dati sensibili dei dipendenti e degli associati possa ritenersi
lecito, è sufficiente che un partito politico osservi – anche a livello di articolazioni territoriali –
le prescrizioni contenute nelle autorizzazioni generali emanate dal Garante e pubblicate sulla
Gazzetta Ufficiale; resta ferma, in ogni caso, la necessità che gli iscritti al partito prestino,
anche sulla base di una formula concisa e collegata alle finalità statutarie, un consenso scritto
al trattamento, che, salva diversa scelta degli interessati, deve ritenersi esteso anche alla pub-
blicazione del nominativo negli elenchi dei sostenitori o dei dipendenti, divulgabili anche via
Internet.
• Garante 30 marzo 1998, in Bollettino n. 4, pag. 12 (v. anche www.garanteprivacy.it: doc. n. 39760)

I partiti politici possono trattare dati personali relativi agli iscritti (che hanno natura sensi-
bile ai sensi dell’art. 22 della legge n. 675/1996) solo in presenza del consenso scritto degli inte-
ressati e dell’autorizzazione del Garante (rilasciata attraverso l’apposita autorizzazione gene-
rale). Il consenso deve essere manifestato anche dai sostenitori o dai simpatizzanti non iscritti al
partito.
• Garante 15 ottobre 1998, in Bollettino n. 6, pag. 58 (v. anche www.garanteprivacy.it: doc. n. 42324)

Tessera elettorale

La tessera elettorale di carattere permanente, con l’indicazione della partecipazione al


voto o, in caso di mancato esercizio del voto stesso, priva di tale indicazione, rappresenta uno
strumento idoneo a rivelare il comportamento elettorale del soggetto che, in alcuni casi, può
essere indicativo anche dell’orientamento politico dell’interessato, come nel caso dei referen-
dum, che sono spesso proposti da un particolare schieramento politico, e in relazione ai quali
la partecipazione alla consultazione o, viceversa, l’astensione dal voto possono essere indica-
tive della condivisione o meno dello specifico progetto politico. Si rende, quindi, necessario
quantomeno prevedere soluzioni tecniche che consentano di separare nettamente i dati iden-
tificativi dell’elettore dalle certificazioni dell’avvenuta partecipazione al voto, anche attraverso
la predisposizione di due distinti documenti associabili, ove necessario, tramite un codice
identificativo.
• Garante 17 novembre 1999, in Bollettino n. 10, pag. 19 (v. anche www.garanteprivacy.it: doc. n. 39644)

Il modello di tessera elettorale introdotto per la prima volta per le elezioni politiche del
maggio 2001, in quanto rende nota una sequenza di dati relativi a tutte le consultazioni eletto-
rali precedenti, espone il cittadino alla possibilità che la scelta di partecipare e meno alla con-
sultazione sia facilmente conoscibile anche al di fuori della sezione elettorale (come, ad esem-
pio, in caso di smarrimento del documento stesso). Inoltre, attraverso la tessera è possibile
dedurre l’orientamento politico dell’elettore, violando in tal modo la segretezza del voto tutelata
dalla Costituzione, a causa del particolare significato che in talune occasioni – ad esempio, refe-

22 Massimario 1997/2001 • Categorie e requisiti dei dati personali


rendum, votazioni di ballottaggio, invito al voto o all’astensione da parte di determinate forze
politiche – può assumere anche il solo dato dell’avvenuta partecipazione al voto.
• Garante 24 aprile 2001, in Bollettino n. 19, pag. 44 (v. anche www.garanteprivacy.it: doc. n. 39252)

Dati idonei a rivelare lo stato di salute


• V.: SOGGETTI PUBBLICI > SETTORI DI ATTIVITÀ > SANITÀ (P. 140)

Requisiti dei dati

Pertinenza, completezza e non eccedenza


La raccolta delle foto segnaletiche da parte degli organi di polizia è finalizzata esclusiva-
mente ad esigenze di sicurezza pubblica e di giustizia; ne consegue che, ove la comunicazione
di dette foto ai mezzi d’informazione avvenga al di fuori di tali finalità, deve ritenersi violata la
legge n. 675/1996 che, all’art. 1, qualifica esplicitamente come “dato personale” qualsiasi infor-
mazione idonea a consentire l’identificazione di un soggetto.
• Garante 2 luglio 1997, in Bollettino n. 1, pag. 62 (v. anche www.garanteprivacy.it: doc. n. 38985)

Con riferimento alla pubblicazione su un quotidiano delle trascrizioni di conversazioni tele-


foniche registrate nel corso di un’inchiesta giudiziaria, incombe sul giornalista il dovere di acqui-
sire lecitamente i documenti relativi alle trascrizioni delle intercettazioni (art. 9, comma 1, lett. a)
della legge n. 675/1996), e di utilizzarli tenendo conto del principio della pertinenza rispetto alle
finalità perseguite (lett. d), comma 1, art. cit.), oltre che di rispettare il parametro dell’essenzia-
lità dell’informazione (art. 20, comma 1, lett. d)). Pur potendo riferire, anche senza il consenso
dell’interessato, notizie e circostanze di natura privata, il giornalista deve quindi rispettare i
limiti imposti dalla tutela della riservatezza, dell’identità personale e della dignità della persona,
mantenendo il riserbo su quelle parti delle conversazioni che attengono a comportamenti stret-
tamente personali non connessi al contesto giudiziario.
• Garante 16 ottobre 1997, in Bollettino n. 2, pag. 71 (v. anche www.garanteprivacy.it: doc. n. 40659)

Nei “test attitudinali” sottoposti da un Comune ai propri dipendenti, al fine della migliore
utilizzazione del personale, non possono essere contenuti quesiti attraverso i quali i lavoratori
esprimano in forma non anonima giudizi di valore riferiti alle complessive finalità dell’ente
comunale, nonché alle linee concrete dell’azione politico-amministrativa dell’ente e dei suoi
dirigenti. I dati così acquisiti, infatti, risultano in contrasto sia con il principio di pertinenza

DATI SENSIBILI> DATI IDONEI A RIVELARE LO STATO DI SALUTE > 23


rispetto alle finalità della raccolta sancito dall’art. 9, comma 1, lett. c) della legge n. 675/1996,
attesa la loro assai dubbia rilevanza ai fini della valutazione dell’attitudine professionale dei
dipendenti, sia con l’art. 27, comma 1 della stessa legge, il quale stabilisce che i soggetti pub-
blici possono procedere al trattamento dei dati personali solo per lo svolgimento delle finalità
istituzionali, nei limiti stabiliti dalla legge e dei regolamenti, in quanto l’art. 8 della legge
n. 300/1970 fa divieto al datore di lavoro di svolgere indagini sulle opinioni politico-sindacali
dei lavoratori.
• Garante 1 luglio 1998, in Bollettino n. 5, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 42332)

La legge n. 675/1996 non ha abrogato il regime di pubblicità delle deliberazioni comunali


e provinciali contenuto nella legge n. 142/1990 e, per quanto concerne la regione Trentino-Alto
Adige, nella legge regionale n. 1/1993: tali normative permettono la conoscibilità pressocché
indifferenziata di tali delibere attraverso la loro pubblicazione nei rispettivi albi pretori. In ogni
caso, rimangono fermi il divieto di diffusione dei dati idonei a rivelare lo stato di salute (art. 23,
comma 4 della legge n. 675/1996), nonché i requisiti di pertinenza e non eccedenza dei dati
(art. 9), che obbligano le amministrazioni ad operare una selezione delle informazioni – specie
sensibili – il cui inserimento sia necessario per la realizzazione delle finalità cui le singole deli-
bere sono preordinate.
• Garante 26 ottobre 1998, in Bollettino n. 6, pag. 133 (v. anche www.garanteprivacy.it: doc. n. 30951)

Ai sensi dell’art. 10 della legge n. 121/1981, come riformulato dall’art. 42 della legge
n. 675/1996, gli interessati possono esercitare direttamente il diritto di accesso ai dati che li
riguardano detenuti dal Centro elaborazione dati del Dipartimento di pubblica sicurezza, anche
al fine di chiedere la correzione o la cancellazione dei dati che risultassero inesatti o incompleti,
oppure trattati in violazione di legge o di regolamento.
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 41 (v. anche www.garanteprivacy.it: doc. n. 41990)

La normativa sugli appalti pubblici (d.lg. n. 157/1985 per gli appalti di beni e servizi; d.lg.
n. 358/1992 per gli appalti di forniture e lavori) attribuisce alle amministrazioni la facoltà di
richiedere alle imprese concorrenti di dimostrare le proprie capacità tecniche mediante la pro-
duzione di un elenco dei principali servizi e forniture effettuati negli ultimi tre anni d’attività,
con l’indicazione degli importi, delle date e dei destinatari delle prestazioni. Analogamente, le
imprese partecipanti possono comunicare tali dati alle amministrazioni richiedenti, nel rispetto
della vigente normativa in materia di segreto aziendale ed industriale, laddove vengano in con-
siderazione dati relativi allo svolgimento di attività economiche (artt. 12, comma 1, lett. f ) ed
art. 20, comma 1, lett. e) della legge n. 675/1996); ne consegue che le imprese concorrenti, ai
fini in questione, non sono tenute ad acquisire il consenso degli interessati (cui dev’essere for-
nita soltanto l’informativa di cui all’art. 10), mentre le amministrazioni appaltanti sono tenute a
rispettare le disposizioni che, anche al di fuori della legge n. 675/1996 e della disciplina sugli

24 Massimario 1997/2001 • Categorie e requisiti dei dati personali


appalti, tutelano i diritti delle società offerenti e che prescrivono, tra l’altro, non solo di chie-
dere le informazioni non eccedenti l’oggetto dell’appalto (ad esempio: necessità effettiva di
acquisire copie di fatture in luogo di altra documentazione equipollente), ma anche di tenere in
debita considerazione “gli interessi legittimi del concorrente relativi alla protezione di interessi
tecnici e commerciali” (art. 14, comma 3, d.lg. n. 358/1992; art. 14, comma 3, d.lg. n. 157/1995).
• Garante 16 febbraio 1999, in Bollettino n. 7, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 42320)

La disciplina delle modalità di utilizzo delle banche dati pubbliche da parte delle varie
amministrazioni deve essere contenuta in norme di legge o di regolamento, in conformità alle
condizioni previste dall’art. 27 della legge n. 675/1996, al fine di realizzare un trasparente
flusso di dati ispirato ad omogenei criteri che garantiscano la protezione dei dati medesimi nel
rispetto dei principi di pertinenza, completezza e non eccedenza sanciti dall’art. 9, lett. d)
della legge.
• Garante 4 marzo 1999, in Bollettino n. 8, pag. 16 (v. anche www.garanteprivacy.it: doc. n. 41187)

Ai fini del contenimento della criminalità in particolari ambiti cittadini, possono essere con-
cluse, tra forze di polizia ed aziende comunali di trasporto pubblico, intese dirette all’introdu-
zione di sistemi di videosorveglianza attraverso l’installazione, in via sperimentale, di teleca-
mere su alcune linee di autobus e tram e presso le fermate. A tal fine, prima dell’attivazione dei
sistemi, la localizzazione delle telecamere e le modalità di ripresa andranno fissate in aderenza
alle finalità che ne hanno suggerito l’installazione, tenendo conto dei principi fissati dall’art. 9
della legge n. 675/1996, con particolare riguardo a quelli di pertinenza e di non eccedenza dei
dati raccolti rispetto agli scopi perseguiti; inoltre, l’attività di videocontrollo, oggetto di preven-
tiva informativa agli utenti ex art. 10 della legge n. 675/1996, dovrà permettere di cogliere in
modo solo panoramico l’interno delle vetture o l’ambito delle singole fermate, in maniera da evi-
tare non solo riprese talmente particolareggiate da risultare intrusive della riservatezza o da con-
sentire la rilevazione di particolari non rilevanti, ma anche da impedire la violazione delle previ-
sioni di cui all’art. 4 della legge n. 300/1970 (in riferimento alle postazioni di guida degli autisti).
Infine, le immagini acquisite, accessibili in chiaro da una “stazione di lettura” sulla scorta di un
sistema di “doppia chiave” congiunta (una in possesso del personale dell’azienda all’uopo pre-
posto, l’altra in possesso dell’autorità di polizia), dovranno essere custodite – unitamente ai
sistemi di lettura – con adeguati sistemi di sicurezza, e potranno essere visionate soltanto in
occasione della commissione di atti criminosi ritualmente denunziati.
• Garante 23 marzo 1999, in Bollettino n. 8, pag. 57 (v. anche www.garanteprivacy.it: doc. n. 40899)

I principi di pertinenza e non eccedenza nel trattamento dei dati personali sanciti dall’art. 9
della legge n. 675/1996 obbligano anche gli organi di polizia e l’autorità giudiziaria a svolgere l’at-
tività di raccolta, utilizzazione e divulgazione dei dati con modalità tali da non recare agli interes-
sati un pregiudizio ingiustificato rispetto alle finalità perseguite. Non appare rispettosa di detti

REQUISITI DEI DATI > PERTINENZA, COMPLETEZZA E NON ECCEDENZA > 25


principi la divulgazione, da parte della polizia giudiziaria, attraverso organi di informazione, di
alcuni dati personali (fotografie e generalità) di una prostituta, che sia stato accertato essere
affetta dal virus dell’H.I.V., al fine di informare le persone che avevano avuto con la stessa rapporti
a rischio, potendo la finalità informativa essere raggiunta, tenuto conto anche delle specifiche
garanzie di riservatezza approntate per i soggetti sieropositivi dalla lege n. 135/1990, attraverso
procedure più selettive, basate, ad esempio, sulla notizia della sieropositività di una persona che
pratichi abitualmente la prostituzione in una determinata zona, accompagnata dall’istituzione di
un servizio di informazione ed assistenza (es.: un numero verde) cui gli interessati potessero rivol-
gersi.
• Garante 13 aprile 1999, in Bollettino n. 10, pag. 72 (v. anche www.garanteprivacy.it: doc. n. 39077)

Non risulta conforme al principio di pertinenza nel trattamento dei dati in relazione alle
finalità perseguite, posto dall’art. 9, comma 1, lett. a) e d) della legge n. 675/1996, la disposi-
zione dell’art. 381 del d.P.R. n. 495/1992 (reg. att. del nuovo codice della strada, introdotto con
d.lg. n. 285/1992) che prevede la diffusione, mediante esposizione nei relativi contrassegni, dei
dati personali (generalità, indirizzo o, alternativamente, fotocopia di un documento di identità)
dei titolari di permessi di accesso a zone a traffico limitato, attribuiti a determinate categorie di
soggetti, o di autorizzazione alla sosta, concesse in favore dei portatori di handicap motorio. Ad
assicurare l’esercizio della funzione amministrativa di controllo sulla liceità e sul corretto utilizzo
di detti permessi è, infatti, sufficiente l’esposizione sui contrassegni, nel primo caso, del numero
di targa e di quello del permesso, nel secondo, dell’indicazione del comune competente e del
numero di autorizzazione, mentre le generalità del titolare, al fine della immediata conoscibilità
da parte di un pubblico ufficiale che le richieda, possono essere riportate sul retro del contras-
segno, celate alla immediata visibilità dall’esterno del veicolo.
• Garante 7 giugno 1999, in Bollettino n. 9, pag. 14 (v. anche www.garanteprivacy.it: doc. n. 40983)

Secondo le disposizioni introdotte dal d.lg. n. 135/1999 che, in materia di trattamento di


dati sensibili da parte di soggetti pubblici, ha integrato le disposizioni poste dall’art. 22 della
legge n. 675/1996, nell’ambito delle attività in materia di elettorato e altri diritti politici sono
consentiti solo i trattamenti finalizzati all’esecuzione di specifici compiti previsti da leggi o
regolamenti (art. 8, comma 1 e 3); tra tali compiti, può essere ricompresa la comunicazione a
soggetti determinati dei dati e delle informazioni in possesso delle amministrazioni pubbliche
ai sensi della normativa sul diritto di accesso, nei limiti e alle condizioni ivi previsti (art. 22 della
legge n. 241/1990). I trattamenti in questione devono, peraltro, essere effettuati nel rispetto dei
principi fissati dalla legge n. 675/1996 e dallo stesso d.lg. n. 135/1999 e, in particolare, di quelli
di pertinenza ed essenzialità dei dati trattati e del rispetto della finalità perseguita (art. 9 della
legge n. 675/1996 e artt. 1 - 4 del d.lg n. 135/1999); in tal senso, appare legittimo il rilascio del-
l’elenco dei sottoscrittori di una lista elettorale esclusivamente a soggetti che intendano ser-
virsene per l’esercizio dei diritti politici (es.: nel caso che la richiesta pervenga da candidati
appartenenti a liste concorrenti).
• Garante 9 giugno 1999, in Bollettino n. 9, pag. 71 (v. anche www.garanteprivacy.it: doc. n. 40779)

26 Massimario 1997/2001 • Categorie e requisiti dei dati personali


Il rilascio di copie di atti o la consultazione dei registri relativi ai procedimenti giudiziari
rientrano fra le attività svolte dagli uffici giudiziari “per ragioni di giustizia”, che sono soggette
solo ad alcune disposizioni della legge n. 675/1996 (art. 4, comma 1, lett. d) e comma 2). Agli
uffici giudiziari, nella comunicazione di dati personali ad altri soggetti pubblici, non si applicano,
quindi, le particolari cautele previste dal comma 2 dell’art. 27 della legge, ferma restando l’ap-
plicabilità, anche ai trattamenti svolti da questi uffici, del principio di pertinenza dei dati previ-
sto dall’art. 9, lett. b) e d), in base al quale è consentita la comunicazione dei soli dati non ecce-
denti la finalità istituzionale perseguita.
• Garante 27 ottobre 1999, in Bollettino n. 10, pag. 78 (v. anche www.garanteprivacy.it: doc. n. 40887)

La legge n. 675/1996 non ha modificato la normativa relativa al condominio negli edifici rin-
venibile nel codice civile e non preclude, quindi, l’applicazione delle norme in materia di costitu-
zione dell’assemblea e di validità delle deliberazioni (artt. 1136 e ss. del c.c.). Poiché da dette
norme discende la necessità dell’esatta individuazione dei nominativi dei soggetti legittimati ad
intervenire all’assemblea, in quanto essa rappresenta elemento indispensabile ai fini della rego-
lare convocazione della stessa e per la verifica della validità delle relative deliberazioni, la docu-
mentazione a tal fine acquisita da parte dell’amministratore può essere messa a disposizione dei
condòmini che ne facciano richiesta, fermo restando che, secondo i principi di pertinenza e non
eccedenza sanciti dall’art. 9 della legge n. 675/1996, possono essere sottoposti ad esame i soli
elementi realmente idonei ad individuare la titolarità dei soggetti legittimati alla partecipazione
alle assemblee.
• Garante 19 maggio 2000, in Bollettino n. 13, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 42268)

Le disposizioni degli artt. 20 e 27, commi 3 e 4, della legge n. 675/1996 consentono,


rispettivamente nel settore del lavoro privato ed in quello pubblico, la diffusione di dati perso-
nali solo a precise condizioni, al di là dell’ipotesi dell’espresso consenso dell’interessato; in
particolare, mentre i soggetti privati possono diffondere i dati personali in adempimento di un
obbligo previsto da una legge, da un regolamento o dalla normativa comunitaria, i soggetti pub-
blici possono far ciò solo ove previsto da una norma di legge o di regolamento. Con specifico
riferimento ai trattamenti connessi all’impiego, da parte dei lavoratori, dei cartellini identifica-
tivi sul posto di lavoro, il cui obbligo di utilizzazione trova fondamento, a seconda del settore
lavorativo privato o pubblico, in accordi aziendali, in regolamenti aziendali o in atti ammini-
strativi d’organizzazione adottati a livello nazionale o locale, deve comunque trovare applica-
zione l’art. 9 della legge n. 675/1996 e, segnatamente, il principio di pertinenza e non ecce-
denza, sicché, in assenza di specifiche norme di legge o di regolamento che ne prescrivano ana-
liticamente il contenuto, da detti cartellini debbono essere espunti tutti quei dati personali dei
lavoratori che risultino non pertinenti o inutilmente eccedenti rispetto alle finalità di responsa-
bilizzare maggiormente il personale o di fornire agli utenti una conoscenza sufficiente degli
operatori con cui entrano in rapporto.
• Garante 11 gennaio 2001, in Bollettino n. 16, pag. 32 (v. anche www.garanteprivacy.it: doc. n. 30991)

REQUISITI DEI DATI > PERTINENZA, COMPLETEZZA E NON ECCEDENZA > 27


Nessuna disposizione della legge n. 675/1996 – in specie, l’art. 9, che al comma 1, lett.
d), stabilisce il principio di pertinenza in materia di trattamento dei dati personali – impedisce
in via generale alla polizia municipale di indicare le generalità degli agenti verbalizzanti nei
verbali di accertamento di violazioni al Codice della strada, conformi all’originale e redatti con
sistemi meccanizzati. Tali verbali vanno compilati secondo le norme speciali che regolano i
relativi modelli, contenute nel regolamento di attuazione al Codice della strada approvato con
d.P.R. n. 495/1992 – e successive modificazioni ed integrazioni –, che disciplinano diretta-
mente i relativi procedimenti sanzionatori amministrativi, e che non sono state abrogate o
modificate dalla legge n. 675/1996.
• Garante 6 febbraio 2001, in Bollettino n. 17, pag. 9 (v. anche www.garanteprivacy.it: doc. n. 41067)

Premesso che la normativa in materia di protezione dei dati personali posta dalla legge
n. 675/1996 non ha abrogato ma, anzi, ha confermato (art. 43, comma 2) le disposizioni contenute
nella legge n. 135/1990 in materia di A.I.D.S., va rilevato che il d.lg. 135/1999 sul trattamento di dati
sensibili effettuato da soggetti pubblici considera di rilevante interesse pubblico il trattamento dei
dati strettamente necessario allo svolgimento delle funzioni di controllo, di indirizzo politico e di
sindacato ispettivo atte a consentire l’espletamento di un mandato elettivo, quale quello dei con-
siglieri comunali. Peraltro, il diritto di accesso ai dati da parte dei predetti incontra un limite nel
rispetto dei principi di pertinenza, essenzialità e compatibilità con la funzione perseguita, ribaditi,
anche in materia di dati sensibili, dagli artt. 1 - 5 del citato d.lg..
• Garante 8 febbraio 2001, in Bollettino n. 17, pag. 5 (v. anche www.garanteprivacy.it: doc. n. 49240)

Costituisce illegittimo trattamento dei dati personali, anche di natura sensibile, la comuni-
cazione, da parte del datore di lavoro, indistintamente ai singoli medici che hanno rilasciato
alcuni certificati giustificativi di varie assenze per malattia di una dipendente, nonché all’Ordine
provinciale dei medici e ad una A.S.L., di dati della dipendente e della di lei figlia minore, atti-
nenti alle ragioni delle singole assenze – non tutte per malattia – e alla consecutività dei relativi
periodi di mancata prestazione lavorativa. Con tale comportamento vengono violati i principi di
pertinenza e non eccedenza fissati dall’art. 9 della legge n. 675/1996, nonché le tutele specifi-
camente apprestate a garanzia del trattamento dei dati sensibili – nella specie, attinenti allo
stato di salute – dall’art. 22 della legge.
• Garante 24 settembre 2001, in Bollettino n. 22, pag. 48 (v. anche www.garanteprivacy.it: doc. n. 39460)

Non viola i principi di pertinenza e non eccedenza fissati dall’art. 9 della legge n. 675/1996
il datore di lavoro che comunica all’I.n.p.s. i dati del dipendente assente anche per un solo
giorno, al fine del controllo sullo stato di malattia, in considerazione della normativa di legge e
di quella contrattuale di settore che prevedono la possibilità di controlli e visite fiscali fin dal
primo giorno di assenza.
• Garante 28 settembre 2001, in Bollettino n. 22, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 41103)

28 Massimario 1997/2001 • Categorie e requisiti dei dati personali


Ai sensi dell’art. 9 della legge n. 675/1996, la pertinenza e non eccedenza dei dati perso-
nali trattati in occasione dell’espletamento di attività investigativa sul luogo di lavoro e commis-
sionata dal datore di lavoro debbono essere valutate caso per caso, tenendo conto del partico-
lare settore nel quale sono occupati i dipendenti interessati e delle specifiche modalità tecniche
di svolgimento della loro attività.
• Garante 21 novembre 2001, in Bollettino n. 23, pag. 98 (v. anche www.garanteprivacy.it: doc. n. 42106)

Viola i principi di pertinenza e non eccedenza nella diffusione dei dati personali, fissati dal-
l’art. 9 della legge n. 675/1996, l’esposizione nella bacheca condominiale, posta in luogo acces-
sibile anche ad estranei al condominio, dell’ordine del giorno di una assemblea che riporti anche
la situazione debitoria di singoli condòmini. Ai sensi degli artt. 13 e 29 della legge, quindi, il con-
domino interessato può agire per ottenere la rimozione dalla bacheca dei dati relativi alla pro-
pria morosità.
• Garante 12 dicembre 2001, in Bollettino n. 23, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 31007)

Nell’ipotesi di estinzione di un contratto di finanziamento, con conseguente totale soddi-


sfacimento dei diritti del creditore, la conservazione, da parte di una “centrale rischi” privata, dei
dati personali del debitore e, eventualmente, del fideiussore, ove protrattasi per un quinquennio
dalla data di estinzione del rapporto, deve essere ritenuta – anche ove assistita da originario con-
senso dell’interessato – sproporzionata ed eccedente rispetto alla finalità perseguita all’atto del
trattamento. Di conseguenza, deve trovare accoglimento l’istanza di cancellazione dei dati avan-
zata dall’interessato
• Garante 27 dicembre 2001, in Bollettino n. 23, pag. 77 (v. anche www.garanteprivacy.it: doc. n. 39696)

Proporzionalità del trattamento


La rilevazione dei dati biometrici (nel caso di specie impronte digitali associate ad imma-
gini del volto) di coloro che accedono ai locali di una banca, ove formalmente giustificata dalla
mera affermazione di una generica ed indimostrata esigenza di sicurezza, non suffragata da spe-
cifici elementi di rischio, si pone in contrasto con il principio di proporzionalità di cui all’art. 9
della legge n. 675/1996. Ne consegue che il trattamento dei dati raccolti con detto sistema di
rilevamento è illecito, traducendosi in un sacrificio sproporzionato della sfera di libertà dei sin-
goli interessati.
• Garante 7 marzo 2001, in Bollettino n. 18, pag. 42 (v. anche www.garanteprivacy.it: doc. n. 30947)

Nella carenza di una base normativa idonea ad operare adeguati bilanciamenti tra i con-
trapposti interessi, l’installazione di sistemi di rilevazione biometrica presso gli sportelli bancari,

REQUISITI DEI DATI > PROPORZIONALITÀ DEL TRATTAMENTO > 29


normalmente non in linea con il principio di proporzionalità di cui all’art. 9 della legge
n. 675/1996, può essere considerata lecita ove effettuata in via assolutamente temporanea ed in
considerazione di eccezionali circostanze di rischio determinatesi in un particolare momento sto-
rico, da valutarsi da parte degli istituti bancari con particolare cautela, anche sulla base dei pre-
cedenti eventi e delle concordanti valutazioni degli organi locali di pubblica sicurezza (nel caso
di specie, detta installazione è stata consentita in relazione alle straordinarie esigenze di sicu-
rezza degli utenti e dei dipendenti delle banche connesse all’imminente introduzione della
moneta unica ed alla conseguente disponibilità, presso gli sportelli, di ingenti quantitativi di
denaro contante).
• Garante 28 settembre 2001, in Bollettino n. 22, pag. 82 (v. anche www.garanteprivacy.it: doc. n. 39704)

L’utilizzazione generalizzata ed indiscriminata di sistemi di rilevazione biometrica all’in-


gresso degli istituti bancari non è consentita perché contraria al principio di proporzionalità tra
gli strumenti impiegati e le finalità prospettate (art. 9 della legge n. 675/1996); infatti, in caso di
mera affermazione di una generica esigenza di sicurezza, non suffragata da specifici elementi atti
ad evidenziare concrete situazioni di rischio, l’adozione di detti sistemi di rilevazione, in assenza
di adeguate norme di legge, si tradurrebbe in un sacrificio sproporzionato della sfera di libertà e
della dignità degli utenti.
• Garante 28 settembre 2001, in Bollettino n. 22, pag. 82 (v. anche www.garanteprivacy.it: doc. n. 39704)

Liceità e correttezza

La diffusione, attraverso i mezzi d’informazione, della notizia afferente l’invito a compa-


rire innanzi all’autorità giudiziaria penale, prima che di detto provvedimento abbia avuto effet-
tiva conoscenza l’interessato, costituisce violazione dei principi di liceità e correttezza fissati
dall’art. 9, comma 1, lett. a) della legge n. 675/1996 allorché non siano rinvenibili concreti ele-
menti che giustifichino l’immediato esercizio del diritto di cronaca (fattispecie antecedente l’in-
troduzione del codice di deontologia di settore).
• Garante 2 luglio 1997, in Bollettino n. 1, pag. 23 (v. anche www.garanteprivacy.it: doc. n. 39256)

I dati personali concernenti le classi stipendiali, le indennità e gli altri emolumenti corri-
sposti ad amministratori e lavoratori dipendenti ed autonomi da concessionari di pubblici ser-
vizi sono da ritenersi conoscibili da parte di chiunque vi abbia interesse attraverso la lettura
degli atti parlamentari (es.: risposte fornite a interrogazioni e interpellanze parlamentari), l’e-
same dei contratti collettivi, l’accesso ai documenti amministrativi (legge n. 241/1990) e, in
sede di esercizio del diritto di cronaca, da parte degli esercenti la professione giornalistica.
Rimane ferma la necessità che tali dati siano esatti, completi ed acquisiti correttamente (art. 9
della legge n. 675/1996), e che siano invece mantenuti riservati quelli relativi a circostanze per-

30 Massimario 1997/2001 • Categorie e requisiti dei dati personali


sonali e familiari, o che abbiano natura sensibile (es.: ritenute previdenziali e assistenziali; ces-
sioni di stipendio; deleghe sindacali).
• Garante 16 settembre 1997, in Bollettino n. 2, pag. 16 (v. anche www.garanteprivacy.it: doc. n. 39364)

Con riferimento alla pubblicazione su un quotidiano delle trascrizioni di conversazioni tele-


foniche registrate nel corso di un’inchiesta giudiziaria, incombe sul giornalista il dovere di acqui-
sire lecitamente i documenti relativi alle trascrizioni delle intercettazioni (art. 9, comma 1, lett. a)
della legge n. 675/1996), e di utilizzarli tenendo conto del principio della pertinenza rispetto alle
finalità perseguite (lett. d), comma 1, art. cit.), oltre che di rispettare il parametro dell’essenzia-
lità dell’informazione (art. 20, comma 1, lett. d)). Pur potendo riferire, anche senza il consenso
dell’interessato, notizie e circostanze di natura privata, il giornalista deve quindi rispettare i
limiti imposti dalla tutela della riservatezza, dell’identità personale e della dignità della persona,
mantenendo il riserbo su quelle parti delle conversazioni che attengono a comportamenti stret-
tamente personali non connessi al contesto giudiziario.
• Garante 16 ottobre 1997, in Bollettino n. 2, pag. 71 (v. anche www.garanteprivacy.it: doc. n. 40659)

Il principio di correttezza nell’acquisizione delle informazioni (art. 9 della legge


n. 675/1996), che è proprio anche dell’esercizio dell’attività giornalistica, trova applicazione –
anche per le fattispecie antecedenti all’entrata in vigore del codice di deontologia di settore,
pubblicato sulla G.U. n. 179 del 3 agosto 1998 – nel caso di registrazioni audiovisive accidentali
o che non facciano parte di una prova di trasmissione, e impongono alla rete televisiva che le
abbia effettuate di astenersi dal diffonderle o, quanto meno, di darne tempestiva notizia all’in-
teressato, ponendolo nella condizione di esprimere il proprio punto di vista e, se del caso, di
opporsi all’ulteriore trattamento (principi affermati dal Garante in una segnalazione ad una rete
televisiva a proposito della diffusione, da parte di una trasmissione a sfondo satirico, di consi-
derazioni espresse da un esponente politico registrate, a sua insaputa, nei momenti immedia-
tamente precedenti l’inizio di un’intervista rilasciata ad un telegiornale della stessa rete).
• Garante 22 luglio 1998, in Bollettino n. 5, pag. 29 (v. anche www.garanteprivacy.it: doc. n. 39813)

Il bilanciamento tra il diritto alla riservatezza e il diritto all’informazione operato dalla


legge n. 675/1996 (v., in particolare, l’art. 25, come modificato dal d.lg. n. 171/1998) non giusti-
fica alcuna deroga a quanto previsto dalle disposizioni dell’art. 9 della legge, secondo le quali il
giornalista, al pari di ogni altro soggetto che utilizzi informazioni contenute anche su supporti
audiovisivi, deve raccoglierle senza violenza o inganno e in un quadro di trasparenza.
• Garante 22 luglio 1998, in Bollettino n. 5, pag. 29 (v. anche www.garanteprivacy.it: doc. n. 39813)

REQUISITI DEI DATI > LICEITÀ E CORRETTEZZA > 31


Ai sensi dell’art. 10 della legge n. 121/1981, come riformulato dall’art. 42 della legge
n. 675/1996, gli interessati possono esercitare direttamente il diritto di accesso ai dati che li
riguardano detenuti dal Centro elaborazione dati del Dipartimento di pubblica sicurezza, anche
al fine di chiedere la correzione o la cancellazione dei dati che risultassero inesatti o incompleti,
oppure trattati in violazione di legge o di regolamento.
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 41 (v. anche www.garanteprivacy.it: doc. n. 41990)

Non contrasta con i principi di liceità e correttezza nel trattamento dei dati personali posti
dall’art. 9 della legge n. 675/1996 l’acquisizione da parte di un’amministrazione comunale della
copia di una sentenza penale emessa nei confronti dell’interessato, dipendente del comune, al
fine di utilizzarne i dati esclusivamente per motivi inerenti allo svolgimento del procedimento
disciplinare instaurato nei confronti dello stesso dipendente.
• Garante 12 luglio 1999, in Bollettino n. 9, pag. 51 (v. anche www.garanteprivacy.it: doc. n. 39660)

Il d.lg. n. 135/1999, recante disposizioni integrative della legge n. 675/1996, circa il tratta-
mento dei dati sensibili da parte dei soggetti pubblici prevede che gli organismi sanitari che trat-
tano dati idonei a rivelare lo stato di salute rispettino i principi di correttezza e di pertinenza san-
citi dall’art. 9 della legge n. 675/1996, adottando specifiche cautele a tutela della riservatezza
degli interessati; tra queste, particolarmente significativa è quella secondo cui i dati anagrafici
devono essere conservati separatamente da quelli sanitari che, se contenuti in elenchi, registri
o banche dati, ai sensi dell’art. 3, commi 4 e 5, d.lg. n. 135/1999 devono essere trattati con tec-
niche di cifratura, mediante l’utilizzazione di codici identificativi o di altri sistemi che permettano
di risalire agli interessati solo in caso di necessità.
• Garante 16 febbraio 2000, in Bollettino n. 11/12, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 30907)

Benché le norme processuali non siano state ancora rivisitate in dettaglio per essere inte-
grate e modificate alla luce dei nuovi principi in materia di trattamento dei dati personali, la
legge n. 675/1996 ha comunque reso immediatamente applicabili all’attività svolta “per ragioni
di giustizia” presso gli uffici giudiziari alcuni obblighi sulle modalità e sulla sicurezza del tratta-
mento, tra cui quelli di correttezza e di pertinenza sanciti dall’art. 9 e quelli sulle misure di sicu-
rezza fissati dal d.P.R. n. 318/1999.
• Garante 21 febbraio 2000, in Bollettino n. 11/12, pag. 9 (v. anche www.garanteprivacy.it: doc. n. 40237)

Fuori dei casi di operazioni di comunicazione connesse a prestazioni richieste, a servizi ero-
gati o all’adempimento di obblighi normativi posti in favore di soggetti pubblici, gli istituti di cre-
dito ed il relativo personale devono mantenere il riserbo sulle informazioni relative ai propri clienti,
astenendosi dalla divulgazione a terzi. Inoltre, secondo la legge n. 675/1996, il titolare del tratta-
mento, ai fini del corretto esercizio della facoltà di cui all’art. 20, comma 1, lett. g) della legge, oltre

32 Massimario 1997/2001 • Categorie e requisiti dei dati personali


a valutare l’effettiva necessità della comunicazione dei dati per la difesa di un diritto in sede giu-
diziaria, è tenuto a verificare che la natura dei dati, il contesto in cui essi sono trattati e, in parti-
colare, il rapporto giuridico intercorrente con l’interessato, per disposto di legge o di contratto non
siano d’ostacolo all’esercizio di tale facoltà. Pertanto, sussistendo nei rapporti delle banche con la
clientela l’obbligo di mantenere il riserbo sulle operazioni, sui conti e sulle posizioni degli utenti
(c.d. segreto bancario), in assenza del consenso dell’interessato deve ritenersi illecita la comuni-
cazione dei dati personali di un cliente effettuata da un dipendente dell’istituto in favore del difen-
sore di un terzo (nel caso di specie il coniuge divorziato del ricorrente), perché contraria non solo
ai principi di liceità e correttezza del trattamento fissati dall’art. 9 della legge n. 675/1996, ma
anche agli specifici obblighi nascenti dal rapporto contrattuale (artt. 1175 e 1375 c.c.).
• Garante 23 maggio 2001, in Bollettino n. 20, pag. 30 (v. anche www.garanteprivacy.it: doc. n. 39821)

Conservazione dei dati


Alla luce del generale principio, fissato dall’art. 9, comma 1, lett. e) della legge n. 675/1996,
secondo il quale i dati personali possono essere conservati per un periodo di tempo non supe-
riore a quello necessario agli scopi per i quali sono stati raccolti e trattati, nonché del disposto
dell’art. 20, comma 4 della legge n. 413/1991, che si riferisce a rapporti di conto o di deposito
in corso, anziché cessati, nella “anagrafe dei rapporti di conto e di deposito”, istituita da detto
art. 20, può essere ammessa soltanto una breve conservazione dei dati relativi ai rapporti
appena cessati, non anche una conservazione a tempo indefinito dei dati relativi a rapporti chiusi
(cfr. art. 3, comma 1, lett. b) l. ult. cit).
• Garante 17 novembre 1999, in Bollettino n. 10, pag. 22 (v. anche www.garanteprivacy.it: doc. n. 40561)

REQUISITI DEI DATI > CONSERVAZIONE DEI DATI > 33


Presupposti
e modalità del
trattamento

• Informativa

• Consenso

• Titolare, responsabile, incaricato

• Notificazione

• Misure per la sicurezza dei dati e dei


sistemi

• Cessazione del trattamento


Informativa

Profili generali
L’informativa scritta resa dal titolare del trattamento (nella specie, un istituto di credito)
deve recare una chiara distinzione tra l’ipotesi di raccolta dei dati presso l’interessato (art. 10,
comma 1 della legge n. 675/1996) e quella in cui i dati siano raccolti presso terzi (art. 10,
comma 3 della legge stessa).
• Garante 28 maggio 1997, in Bollettino n. 1, pag. 17 (v. anche www.garanteprivacy.it: doc. n. 40425)

Ai sensi dell’art. 12, comma 1, lett. b) della legge n. 675/1996, gli studi professionali
degli agenti di cambio non sono tenuti a richiedere ai propri clienti il consenso per l’uso pro-
fessionale dei dati personali, trattandosi di trattamento necessario per l’esecuzione di obbli-
ghi derivanti da un contratto di cui, peraltro, sono parte gli stessi interessati. Qualora, invece,
detto trattamento si concretizzi in una comunicazione o in una diffusione a terzi dei dati per-
sonali, l’acquisizione del consenso dell’interessato è dovuta, sempre che non ricorrano i pre-
supposti di cui all’art. 20, comma 1, lett. e) della legge n. 675/1996. In ogni caso permane l’ob-
bligo di rendere un’idonea informativa.
• Garante 22 luglio 1997, in Bollettino n. 1, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 39656)

L’iscrizione ad un partito politico costituisce di per sé un dato sensibile, con conseguente


necessità, per il titolare del trattamento, di rendere un’idonea informativa ai sensi dell’art. 10
della legge n. 675/1996 e, per l’interessato, di prestare espresso consenso scritto al trattamento
dei dati personali.
• Garante 8 gennaio 1998, in Bollettino n. 3, pag. 22 (v. anche www.garanteprivacy.it: doc. n. 39264)

In relazione alle modalità di tenuta, da parte di un’associazione professionale a carattere


culturale e sindacale, di un “indirizzario” per la trasmissione di un periodico mensile mediante
abbonamento postale, occorre distinguere a seconda che detto periodico venga spedito solo agli
iscritti all’associazione ovvero agli abbonati anche a prescindere dalla loro eventuale iscrizione.
Infatti, mentre nel primo caso i dati personali relativi agli abbonati, in quanto idonei a rilevare l’a-
desione ad un’associazione sindacale, hanno natura “sensibile” e, quindi, possono essere trat-
tati soltanto dietro acquisizione del consenso scritto dell’interessato e previo rilascio di apposita
autorizzazione da parte del Garante, nel secondo caso tali dati sono soltanto “comuni” e, per-
tanto, salva l’ipotesi che si tratti di dati conoscibili da chiunque, possono essere trattati solo a
seguito di adeguata informativa e di rilascio del consenso orale da parte dell’interessato, purché
documentato per iscritto (anche su modulo predisposto dal titolare del trattamento).
• Garante 27 marzo 1998, in Bollettino n. 4, pag. 30 (v. anche www.garanteprivacy.it: doc. n. 41922)

INFORMATIVA > PROFILI GENERALI 37


Il datore di lavoro – nella specie, un comune – che decida di sottoporre i dipendenti ad un
“test attitudinale” allo scopo di procedere alla migliore utilizzazione del personale, deve rendere
ai lavoratori un’adeguata informativa (art. 10 della legge n. 675/1996) che precisi, in particolare,
la obbligatorietà o meno delle risposte e le conseguenze in caso di mancata risposta, e che indi-
chi gli eventuali soggetti esterni (es.: una società di elaborazione dati) che possono avere
accesso ai dati.
• Garante 1 luglio 1998, in Bollettino n. 5, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 42332)

L’informativa di cui all’art. 10 della legge n. 675/1996 costituisce un adempimento, posto a


carico di soggetti, sia pubblici sia privati, che il titolare del trattamento deve di regola porre in
essere anche quando la raccolta dei dati sia prevista da una disposizione normativa. Soltanto nel
caso in cui i dati siano acquisiti presso soggetti diversi da quelli a cui si riferiscono, l’informativa
può non essere fornita ove i dati siano utilizzati in base ad un obbligo di legge o di regolamento
(art. 10, commi 3 e 4 della legge n. 675/1996).
• Garante 21 ottobre 1998, in Bollettino n. 6, pag. 61 (v. anche www.garanteprivacy.it: doc. n. 41862)

Il titolare del trattamento deve informare l’interessato circa il fatto che i dati personali che
lo riguardano possono essere comunicati, in conformità della legge n. 675/1996, ad un terzo pre-
posto ad elaborazioni finalizzate all’adempimento degli obblighi contabili, fiscali, retributivi,
previdenziali ed assistenziali gravanti sul titolare stesso. Con tale informativa, il titolare deve
specificare se il terzo svolge le predette elaborazioni nella veste di responsabile del trattamento
(art. 8) oppure come autonomo titolare che effettua un distinto trattamento di dati (fattispecie
concernente centri elaborazione dati gestiti da società di consulenza informatica, professionisti,
associazioni ed altri organismi che elaborano per conto terzi dati inerenti a clienti, fornitori e
dipendenti, a fini di gestione amministrativa e contabile).
• Garante 26 novembre 1998, in Bollettino n. 6, pag. 81 (v. anche www.garanteprivacy.it: doc. n. 39624)

Il trattamento dei dati personali contenuti nei curricula vitae inviati spontaneamente dai
candidati all’instaurazione di rapporti di lavoro presuppone necessariamente che sia resa una
previa informativa, fatta eccezione dei soli elementi, fra quelli indicati nell’art. 10, comma 1 della
legge n. 675/1996, che siano già noti agli interessati (principio espresso in fattispecie concer-
nente i curricula inviati a società operanti nel settore del lavoro interinale disciplinato dalla legge
n. 196/1997). Ove i dati vengano raccolti telefonicamente, l’informativa può essere data anche
oralmente (e documentata per iscritto dall’addetto che la fornisce).
• Garante 24 dicembre 1998, in Bollettino n. 6, pag. 119 (v. anche www.garanteprivacy.it: doc. n. 40173)

L’ampia nozione di “trattamento” contenuta nell’art. 1, comma 2, lett. b) della legge


n. 675/1996 comprende qualunque operazione o complesso di operazioni, svolte con mezzi sia

38 Massimario 1997/2001 • Presupposti e modalità del trattamento


automatizzati sia cartacei, che concernono la raccolta, la registrazione, l’organizzazione, la con-
servazione e l’elaborazione dei dati, anche ove non registrati in archivi; pertanto, l’esercizio, da
parte di un medico, di attività diagnostica comporta necessariamente un trattamento di dati, sia
comuni che sensibili, con la conseguenza che questi, ai sensi degli artt. 10, 22 comma 1 e 23 della
legge, è tenuto ad informare i propri pazienti sul trattamento stesso e ad acquisire dai medesimi
il consenso scritto.
• Garante 9 gennaio 1999, in Bollettino n. 7, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 31031)

Il trattamento di dati connesso all’acquisizione delle impronte digitali dei clienti di un cen-
tro sportivo privato non contrasta, di per sé, con la legge n. 675/1996, a condizione che agli inte-
ressati (ossia alle persone che si sono iscritte o che comunque accedono al centro) sia fornita,
anche oralmente, la prescritta informativa (art. 10) e sia richiesto, se necessario, il relativo con-
senso (artt. 11 e 12).
• Garante 19 novembre 1999, in Bollettino n. 10, pag. 68 (v. anche www.garanteprivacy.it: doc. n. 42058)

Le offerte di lavoro riportate su annunci pubblicati in quotidiani o periodici debbono recare


adeguate informative sul trattamento dei dati raccolti; in caso contrario, le dichiarazioni di con-
senso al trattamento spesso richieste per l’invio dei curricula sono da ritenersi invalide.
• Garante 13 gennaio 2000, in Bollettino n. 11/12, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 42276)

La ricezione del coupon compilato dall’interessato concreta un trattamento di dati che pre-
suppone che il titolare abbia già fornito al medesimo – prima che i dati siano concretamente rac-
colti e registrati, e a prescindere dalla loro ulteriore utilizzazione per le finalità previste – le infor-
mazioni indicate dall’art. 10 della legge n. 675/1996, che sono dovute in ogni caso, anche qua-
lora il consenso non sia per legge indispensabile; al riguardo, nessuna importanza assume il
fatto che il titolare rinunci o non proceda immediatamente alla registrazione dei dati in un
elenco, archivio o banca dati, né rilevano le modalità con cui il medesimo intenda trattare suc-
cessivamente i dati.
• Garante 13 gennaio 2000, in Bollettino n. 11/12, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 42276)

Non può ritenersi lecito che il titolare fornisca l’informativa allorché riceva il coupon, con-
tattando successivamente l’interessato; infatti, nei casi in cui sia quest’ultimo ad indicare diret-
tamente i dati che lo riguardano, la ratio dell’art. 10, comma 1, della legge n. 675/1996 è quella
di assicurare che egli sia informato prima di fornire i dati richiesti, al fine di poter manifestare un
consapevole consenso all’atto dell’eventuale compilazione del coupon.
• Garante 13 gennaio 2000, in Bollettino n. 11/12, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 42276)

INFORMATIVA > PROFILI GENERALI 39


Ai fini di una corretta informativa, il coupon – o, eventualmente, per ragioni di spazio, il
documento ove esso sia inserito – deve riportare un messaggio di sintesi, basato su un oppor-
tuno stile colloquiale, che permetta innanzitutto all’interessato di comprendere quali effetti con-
creti comporti la spedizione del coupon stesso; inoltre, omettendo superflue assicurazioni circa
il rispetto della normativa sul trattamento dei dati personali, il coupon deve riportare altresì
un’indicazione che, seppur succinta, permetta all’interessato di appurare l’insieme delle possi-
bili informazioni che debbono essere rese ai sensi dell’art. 10, comma 1, delle legge n. 675/1996,
da collocarsi in un unico spazio, in modo tale da evitare, in armonia con il fondamentale princi-
pio di correttezza, una loro eccessiva frammentazione.
• Garante 13 gennaio 2000, in Bollettino n. 11/12, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 42276)

Le società, imprese, enti, associazioni od altri organismi che procedano alla raccolta di dati
attraverso coupon ricavabili da giornali, depliant, lettere e annunci pubblicitari, ovvero mediante
questionari collegati a tessere di “fidelizzazione”, a ricerche di mercato, a lotterie, estrazioni di
premi od offerte di regali, debbono informare in modo adeguato gli interessati e acquisire il loro
consapevole consenso ove ciò sia necessario in base alla legge n. 675/1996 o ad altra disposi-
zione in materia.
• Garante 13 gennaio 2000, in Bollettino n. 11/12, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 42276)

Il consenso può ritenersi validamente prestato solo ove fondato su un’informativa ade-
guata, sicché i vizi attinenti alla mancanza, all’incompletezza o all’inesattezza dell’informativa si
riflettono inevitabilmente sulla validità della sua manifestazione.
• Garante 13 gennaio 2000, in Bollettino n. 11/12, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 42276)

I soggetti pubblici, ove operino nei limiti previsti dalle finalità istituzionali (art. 27 della
legge n. 675/1996), non devono richiedere l’autorizzazione o il consenso dei cittadini per il trat-
tamento dei dati personali che li riguardano, dovendo, piuttosto, informarli ai sensi dell’art. 10
della legge.
• Garante 5 dicembre 2000, in Bollettino n. 14/15, pag. 22 (v. anche www.garanteprivacy.it: doc. n. 40273)

La pubblicazione di dati personali in una bacheca situata all’interno di un consorzio, ma in


luogo accessibile facilmente da chiunque, deve essere considerata “diffusione” di dati personali,
secondo l’accezione offerta dall’art. 1, comma 2, lett. h), della legge n. 675/1996, che necessita,
ai sensi dell’art. 10 della legge, di una previa informativa agli interessati, onde permettere loro
una consapevole manifestazione di volontà diretta a consentire, o meno, tale trattamento (fatti-
specie nella quale il Garante ha segnalato al consorzio la necessità di astenersi dall’affiggere
nella bacheca, in difetto della previa informativa e della prestazione del relativo consenso, un
prospetto contabile riguardante la situazione debitoria dei consorziati).
• Garante 6 dicembre 2000, in Bollettino n. 14/15, pag. 14 (v. anche www.garanteprivacy.it: doc. n. 38957)

40 Massimario 1997/2001 • Presupposti e modalità del trattamento


Attraverso l’informativa prevista dall’art. 10 della legge n. 675/1996 tutte le persone inte-
ressate devono essere messe a conoscenza dell’uso di telecamere che riprendono il luogo dove
le stesse si trovano o intendono recarsi (fattispecie relativa all’istallazione di un sistema di video-
sorveglianza all’ingresso dei locali di una banca).
• Garante 11 dicembre 2000, in Bollettino n. 14/15, pag. 30 (v. anche www.garanteprivacy.it: doc. n. 30903)

Il giornalista che raccoglie dati personali presso una struttura sanitaria deve fornire una
adeguata informativa agli interessati, che tenga conto delle condizioni psicofisiche dei pazienti
(nella specie, soggetti anoressici) e della loro concreta capacità di esprimere una manifestazione
di volontà realmente consapevole degli effetti derivanti dalla diffusione dei dati e delle immagini
che li riguardano.
• Garante 20 giugno 2001, in Bollettino n. 21, pag. 4 (v. anche www.garanteprivacy.it: doc. n. 39512)

Informativa semplificata
Codice deontologico per l’attività giornalistica

Il codice di deontologia relativo al trattamento dei dati personali nell’esercizio dell’attività


giornalistica, in attuazione dell’art. 25, comma 4 della legge n. 675/1996 (come modificato dal
d.lg. n. 123/1997), ha introdotto forme semplificate di informativa applicabili a due distinte
situazioni regolate nei commi 1 e 3 dell’art. 10 della legge n. 675/1996. In particolare, l’art. 2,
comma 1 del codice disciplina l’informativa che il giornalista – per un’esigenza di correttezza nei
confronti delle persone “intervistate” – deve fornire al momento in cui raccoglie dati dalla per-
sona alla quale si riferiscono le informazioni; in questo caso, il dovere d’informativa può essere
adempiuto – salvo il caso in cui ciò risulti impossibile o comporti rischi per l’incolumità perso-
nale del professionista – palesando all’interessato la sola circostanza che si sta esercitando
un’attività giornalistica, nonché le finalità della raccolta, senza che occorra specificare gli altri
elementi indicati nell’art. 10, comma 1 della legge n. 675/1996. Al contrario, il secondo comma
dell’art. 2 del codice disciplina il caso in cui il giornalista raccolga informazioni riguardanti l’in-
teressato presso terzi oppure si avvalga delle varie fonti informative disponibili; soltanto in
relazione a queste ultime ipotesi – impregiudicata l’esigenza del giornalista di effettuare, ove
necessario, l’informativa di cui al comma 1 – trova applicazione l’obbligo degli editori di rendere
noti al pubblico, almeno due volte l’anno, mediante annunci, l’esistenza degli archivi e il luogo
dove è possibile esercitare i diritti previsti dalla legge n. 675/1996.
• Garante 11 agosto 1998, in Bollettino n. 5, pag. 27 (v. anche www.garanteprivacy.it: doc. n. 40607)

Pubblicazioni occasionali
• V.: PRIVATI ED ENTI PUBBLICI ECONOMICI > SETTORI DI ATTIVITÀ > ATTIVITÀ GIORNALISTICA >
PUBBLICAZIONI OCCASIONALI > PROFILI GENERALI (P. 84)

INFORMATIVA > INFORMATIVA SEMPLIFICATA > 41


CODICE DEONTOLOGICO PER L’ATTIVITÀ GIORNALISTICA
Operazioni di cartolarizzazione

Ai sensi dell’art. 10, comma 4 della legge n. 675/1996, la società che opera il trattamento
dei dati connesso ad operazioni di cartolarizzazione finalizzate all’acquisto in blocco di migliaia
di posizioni creditizie è autorizzata ad informare in forma semplificata i singoli interessati al trat-
tamento stesso. Tale informativa, secondo il Garante, deve avvenire non solo mediante la pub-
blicazione sulla Gazzetta Ufficiale prevista dall’art. 58 del d.lg. n. 385/1993 per la notifica della
cessione dei rapporti giuridici in blocco, ma anche attraverso la messa a disposizione degli inte-
ressati, presso ciascuna filiale, del testo dell’informativa, con l’adozione di opportune modalità
atte a garantirne un’agevole visibilità agli utenti; inoltre, ciascun estratto conto dovrà recare l’in-
dicazione della data di pubblicazione dell’informativa sulla Gazzetta Ufficiale.
• Garante 5 giugno 1999, inedito (v. anche www.garanteprivacy.it: doc. n. 42332)

Le società che operano il trattamento dei dati collegato ad operazioni di cartolarizzazione,


finalizzate all’acquisto in blocco di migliaia di posizioni creditizie, sono autorizzate dal Garante,
ai sensi dell’art. 10, comma 4, della legge n. 675/1996, ad informare gli interessati in forma sem-
plificata attraverso la pubblicazione sulla Gazzetta Ufficiale prevista, per la notifica della ces-
sione di rapporti giuridici in blocco, dall’art. 58 d.lg. n. 385/1993, nonché mediante la pubblica-
zione su due quotidiani nazionali ed uno del luogo ove sono intrattenuti i rapporti con il maggior
numero degli interessati.
• Garante 4 aprile 2001, in Bollettino n. 19, pag. 20 (v. anche www.garanteprivacy.it: doc. n. 40763)

Oggetto
Attività sportiva

Il consenso reso dall’atleta alla società sportiva di cui fa parte a trattare i dati sensibili che
lo riguardano, e a comunicare o diffondere quelli comuni, deve essere acquisito sulla base di un’i-
donea informativa, che renda chiare le circostanze indicate nell’art. 10 della legge n. 675/1996,
specie sulle finalità e modalità del trattamento, sull’ambito di diffusione dei dati e sui diritti spet-
tanti ai sensi dell’art. 13 della legge. Il mero inserimento dell’informativa nei c.d. regolamenti
federali non risulta idoneo a consentire all’interessato di rilevare con evidenza ed immediatezza
le informazioni essenziali sul trattamento dei dati, tale da permettergli di esprimere un consenso
libero e consapevole.
• Garante 22 giugno 1998, in Bollettino n. 5, pag. 46 (v. anche www.garanteprivacy.it: doc. n. 31035)

Istituti di credito
• V.: PRIVATI ED ENTI PUBBLICI ECONOMICI > SETTORI DI ATTIVITÀ > ISTITUTI DI CREDITO > PROFILI
GENERALI (P. 94)

42 Massimario 1997/2001 • Presupposti e modalità del trattamento


L’informativa scritta resa dagli istituti di credito alla clientela deve recare una chiara distin-
zione tra i casi in cui i dati debbono essere forniti dai singoli interessati in base ad un obbligo di
legge (es.: normativa sul riciclaggio del denaro sporco), quelli in cui le informazioni acquisite
sono strettamente funzionali all’esecuzione del rapporto contrattuale (per le quali, peraltro, ai
sensi dell’art. 12, comma 1, lett. b) e dell’art. 20, comma 1, lett e) della legge n. 675/1996 il con-
senso dell’interessato non è indispensabile) e quelli che si riferiscono allo svolgimento di ulte-
riori attività da parte dell’istituto di credito (subordinate ad uno specifico consenso dell’inte-
ressato).
• Garante 28 maggio 1997, in Bollettino n. 1, pag. 17 (v. anche www.garanteprivacy.it: doc. n. 40425)

La legge n. 675/1996 non ha introdotto alcun divieto nei confronti del c.d. “benefondi”
(consistente nell’accertamento, anche informale, attraverso il quale viene garantita l’esi-
stenza, presso una banca o una sede o filiale della stessa, della provvista corrispondente agli
assegni emessi). Il benefondi, infatti, è certamente riconducibile alle attività che la banca deve
descrivere, sia pure in termini generali, nei modelli di informativa e di acquisizione del con-
senso, che debbono comprendere le operazioni di comunicazione dei dati a terzi ed i tratta-
menti temporanei che questi ultimi sono tenuti ad effettuare per la corretta esecuzione dei
servizi richiesti.
• Garante 30 novembre 1998, in Bollettino n. 6, pag. 85 (v. anche www.garanteprivacy.it: doc. n. 39416)

Marketing

La legge n. 675/1996 non ha vietato la raccolta e l’utilizzazione dei dati personali per fina-
lità commerciali e di marketing; tali operazioni, però, ai sensi degli artt. 12 e 20 della legge,
richiedono la previa informativa agli interessati nonché, eccettuati alcuni casi, l’acquisizione del
relativo consenso (fattispecie relativa all’invio alla clientela da parte di una società che gestisce
carte di credito a pagamento, insieme all’estratto conto, anche di materiale pubblicitario relativo
a servizi offerti dalla società o da terzi).
• Garante 19 dicembre 1998, in Bollettino n. 6, pag. 25 (v. anche www.garanteprivacy.it: doc. n. 39180)

Pubblicazioni scientifiche

La legge n. 675/1996, lungi dal pregiudicare l’informazione a contenuto medico-scientifico


su casi d’interesse degli specialisti di settore e del pubblico, tende soltanto ad evitare il rischio
che le informazioni diffuse rendano possibile risalire agli interessati che intendano mantenere
l’anonimato, i quali, peraltro, debbono essere completamente informati dal medico circa le carat-
teristiche dell’eventuale pubblicazione scientifica che li riguardi. Ne consegue che, in tali casi, il

INFORMATIVA > OGGETTO > 43


MARKETING
contemperamento delle esigenze della ricerca medica e scientifica con il diritto alla riservatezza
può essere raggiunto anche attraverso il richiamo, nell’ambito del testo oggetto di pubblica-
zione, delle sole iniziali delle generalità degli interessati, nonché attraverso l’eventuale ricorso a
nomi di fantasia o a codici numerici.
• Garante 9 gennaio 1999, in Bollettino n. 7, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 31031)

Pubblicità telefonica
• V.: TELECOMUNICAZIONI E RETI TELEMATICHE > CASI PARTICOLARI > PUBBLICITÀ TELEFONICA (P. 192)

Propaganda elettorale

L’uso, a fini di propaganda elettorale, dei dati degli iscritti ad un’associazione deve essere
previsto espressamente nello statuto dell’associazione stessa o in una chiara informativa resa
agli interessati, formulata secondo le prescrizioni contenute nell’art. 10 della legge n. 675/1996,
onde permettere loro una consapevole manifestazione di volontà diretta a consentire, o meno,
tale trattamento (fattispecie nella quale il Garante ha segnalato all’associazione la necessità di
astenersi, in difetto delle menzionate condizioni, dal comunicare i dati degli associati ad un can-
didato ad una consultazione elettorale al fine di sostenerne la candidatura).
• Garante 9 ottobre 2000, in Bollettino n. 14/15, pag. 17 (v. anche www.garanteprivacy.it: doc. n. 39937)

Questionari R.a.i.

La R.a.i., nel formulare il questionario con il quale raccoglie presso gli utenti dati di natura
personale al fine della gestione e riscossione del canone radiotelevisivo, deve formulare il testo
dell’informativa resa ai sensi dell’art. 10 della legge n. 675/1996 in modo da specificare che la
compilazione del questionario, che non è obbligatoria, facilita l’identificazione dell’abbona-
mento di riferimento e può rendere superflue ulteriori verifiche circa l’effettiva posizione dell’u-
tente, mentre la comunicazione dei dati alla Guardia di Finanza ed i conseguenti controlli sono
solo eventuali.
• Garante 13 dicembre 2000, in Bollettino n. 19, pag. 23 (v. anche www.garanteprivacy.it: doc. n. 42018)

Rilevazioni biometriche
• V.: PRIVATI ED ENTI PUBBLICI ECONOMICI > SETTORI DI ATTIVITÀ > BIOMETRIA (P. 92)

44 Massimario 1997/2001 • Presupposti e modalità del trattamento


Trattamento correlato ed autonomo

La Siteba - Sistemi telematici bancari s.p.a. svolge un’attività di supporto tecnico in favore
degli istituti bancari e degli enti emittenti carte di credito che attivano terminali presso gli esercizi
commerciali al dettaglio (di regola, di tipo E.F.T./P.O.S. stand-alone) o della c.d. grande distribu-
zione (di solito concentrati su server); tale servizio, che è reso presso i punti vendita, è finalizzato
all’accettazione delle carte di pagamento da parte dei terminali E.F.T./P.O.S. e si esplica nell’ap-
prontamento, in favore delle banche e degli istituti emittenti, di servizi di installazione, manuten-
zione e gestione dei terminali, nonché di ulteriori attività propedeutiche o complementari (quali,
ad esempio, le richieste di codici identificativi degli esercenti o di attivazione dei terminali con le
banche acquirers delle carte di credito; i rapporti con i fornitori di rete di telecomunicazione per
l’eventuale concessione di terminazioni speciali). Poiché detta complessiva attività è strumentale
all’ulteriore rapporto tra esercenti il commercio e banche/enti emittenti deve ritenersi che le
scelte di fondo sulle finalità e sulle modalità del trattamento spettino a questi ultimi (che rive-
stono la qualità di titolari del complessivo trattamento dei dati), sicché, avuto riguardo alle con-
crete modalità di gestione del rapporto, è logico interpretare il ruolo della Siteba come quello di
una società titolare di un trattamento correlato ed autonomo, limitatamente al centro di assi-
stenza telefonica, esterna alla banca committente del servizio di installazione. Ne consegue l’op-
portunità che la banca committente, in sede di informativa agli esercenti, indichi anche la Siteba
tra i soggetti utilizzati per gli adempimenti contrattuali connessi al servizio di pagamento remoto.
• Garante 23 marzo 1998, in Bollettino n. 4, pag. 60 (v. anche www.garanteprivacy.it: doc. n. 40999)

Esonero
In genere

L’informativa di cui all’art. 10 della legge n. 675/1996 costituisce un adempimento, posto a


carico di soggetti, sia pubblici sia privati, che il titolare del trattamento deve di regola porre in
essere anche quando la raccolta dei dati sia prevista da una disposizione normativa. Soltanto nel
caso in cui i dati siano acquisiti presso soggetti diversi da quelli a cui si riferiscono, l’informativa
può non essere fornita ove i dati siano utilizzati in base ad un obbligo di legge o di regolamento
(art. 10, commi 3 e 4 della legge n. 675/1996).
• Garante 21 ottobre 1998, in Bollettino n. 6, pag. 61 (v. anche www.garanteprivacy.it: doc. n. 41862)

Il titolare può essere esonerato dal Garante dal fornire l’informativa per i dati raccolti
presso soggetti diversi dall’interessato (art. 10, comma 3 della legge n. 675/1996), quando la
stessa comporta un impiego di mezzi che il Garante dichiari essere manifestamente spropor-
zionati rispetto al diritto dell’interessato di conoscere le principali caratteristiche del tratta-
mento, ovvero quando l’informativa si rivela, a giudizio dell’Autorità, “impossibile” (art. 10,
comma 4). I suddetti profili, per la cui dimostrazione spetta al titolare fornire specifiche moti-

INFORMATIVA > OGGETTO > 45


TRATTAMENTO CORRELATO ED AUTONOMO
vazioni e concreti elementi di riscontro, debbono essere valutati in concreto, con particolare
riferimento alla speciale natura delle finalità perseguite o dei dati trattati, alle complesse
modalità di realizzazione dell’adempimento, all’ingente numero degli interessati, alle attività
necessarie per rintracciarli, alla data di raccolta delle informazioni o alla particolare onerosità
dei costi da sostenere.
• Garante 26 novembre 1998, in Bollettino n. 6, pag. 81 (v. anche www.garanteprivacy.it: doc. n. 39624)

I.s.v.a.p.

Ai sensi dell’art. 10, commi 3 e 4 della legge n. 675/1996, l’I.s.v.a.p. deve ritenersi eso-
nerato dall’obbligo d’informativa per procedere al trattamento dei dati personali contenuti
nelle segnalazioni spontaneamente inviate dagli interessati, trattandosi di dati non raccolti
presso i predetti ed acquisiti nell’esercizio del generale potere di vigilanza sulle imprese assi-
curatrici attribuito dall’art. 4 della legge n. 576/1982 all’Istituto. Analogamente, non sussiste
obbligo d’informativa sia nel caso in cui i dati personali siano ottenuti nel corso di ispezioni e
verifiche ed attengano a soggetti diversi da quelli oggetto d’accertamento, sia allorché detti
dati, afferenti ai requisiti di professionalità ed onorabilità degli esponenti aziendali e degli
azionisti, siano comunicati all’I.s.v.a.p. dalle imprese soggette a controllo secondo le previ-
sioni di legge.
• Garante 10 febbraio 1998, in Bollettino n. 3, pag. 46 (v. anche www.garanteprivacy.it: doc. n. 40931)

Consultazioni elettorali

In occasione delle consultazioni elettorali vengono impiegate notevoli quantità di dati per-
sonali, estratti da registri pubblici, elenchi o atti conoscibili da chiunque, che vengono utilizzati
per l’invio di comunicazioni politiche a scopo di propaganda elettorale. Considerata la rilevanza
di tali iniziative al fine della partecipazione democratica alle consultazioni, ed attesa la manife-
sta sproporzione tra l’impiego di mezzi necessari per l’invio a tutti gli interessati delle informa-
tive previste dall’art. 10, comma 3, della legge n. 675/1996 e il diritto tutelato dalla norma, par-
titi e movimenti politici e ogni altro soggetto che effettui in occasione delle consultazioni eletto-
rali i predetti trattamenti di dati, ai sensi del comma 4 del citato art. 10, possono essere esone-
rati, in via temporanea, dall’invio dell’informativa ai destinatari delle comunicazioni di propa-
ganda politica, purché gli interessati non vengano direttamente contattati dall’utilizzatore dei
dati e limitatamente al materiale di propaganda che non permetta l’inserimento dell’informativa
(con esclusione, quindi, di lettere articolate o messaggi di posta elettronica, nei quali l’informa-
tiva deve essere contenuta nelle stesse comunicazioni).
• Garante 7 febbraio 2001, in Bollettino n. 17, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 40967)

46 Massimario 1997/2001 • Presupposti e modalità del trattamento


Consenso

Profili generali
Ai sensi dell’art. 9 della legge n. 675/1996, ove il consenso richiesto per il trattamento dei
dati personali dell’interessato risulti riferibile anche ad attività diverse da quelle relative al rap-
porto contrattuale in essere tra le parti (nel caso di specie, un contratto bancario), nella formula
di consenso preventivamente predisposta dal titolare del trattamento debbono essere evitate
indicazioni di tipo generico sui trattamenti praticabili, affinché possa essere garantita all’inte-
ressato la possibilità di conoscere la reale portata del consenso eventualmente manifestato.
• Garante 28 maggio 1997, in Bollettino n. 1, pag. 17 (v. anche www.garanteprivacy.it: doc. n. 40425)

L’informativa scritta resa dagli istituti di credito alla clientela deve recare una chiara distin-
zione tra i casi in cui i dati debbono essere forniti dai singoli interessati in base ad un obbligo di
legge (es.: normativa sul riciclaggio del denaro sporco), quelli in cui le informazioni acquisite sono
strettamente funzionali all’esecuzione del rapporto contrattuale (per le quali, peraltro, ai sensi
dell’art. 12, comma 1, lett. b) e dell’art. 20, comma 1, lett e) della legge n. 675/1996 il consenso
dell’interessato non è indispensabile) e quelli che si riferiscono allo svolgimento di ulteriori atti-
vità da parte dell’istituto di credito (subordinate ad uno specifico consenso dell’interessato).
• Garante 28 maggio 1997, in Bollettino n. 1, pag. 17 (v. anche www.garanteprivacy.it: doc. n. 40425)

Alla luce dei criteri generali dettati in sede europea e recepiti dall’ordinamento interno (es.:
artt. 1469 bis e ss. del codice civile, attuativi della Direttiva CEE n. 93/13), il consenso dell’inte-
ressato al trattamento dei propri dati personali può essere ritenuto effettivamente libero sol-
tanto ove costituisca manifestazione del diritto all’autodeterminazione informata e qualora non
risulti condizionato all’accettazione di clausole negoziali comportanti un significativo squilibrio
dei diritti e degli obblighi reciprocamente nascenti dal contratto. Ne deriva che la richiesta ulti-
mativa di un consenso generale ed incondizionato al trattamento dei dati personali, formulata da
un soggetto in posizione di netta preminenza economica ed accompagnata dall’esplicita previ-
sione di una possibile risoluzione dei rapporti contrattuali in essere tra le parti, si risolve in una
violazione della libertà negoziale dell’altro contraente, cui risulta sostanzialmente precluso l’e-
sercizio dei diritti fondamentali di cui all’art. 1 della legge n. 675/1996.
• Garante 28 maggio 1997, in Bollettino n. 1, pag. 17 (v. anche www.garanteprivacy.it: doc. n. 40425)

Il consenso deve essere manifestato in forma specifica, vale e dire in relazione a tratta-
menti determinati, effettuati da uno o più titolari nominativamente individuati.
• Garante 21 ottobre 1997, in Bollettino n. 2, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40855)

CONSENSO > PROFILI GENERALI > 47


Poiché sia la normativa attualmente in vigore sui controlli termici (legge n. 10/1991; d.P.R.
n. 412/1993), sia la normativa generale in tema di accertamento delle violazioni amministrative
(art. 13 della legge n. 689/1981) non prevedono l’insorgenza, a carico dell’E.n.e.l. s.p.a., di un
obbligo di comunicazione dei dati degli utenti ove richiesti dalla provincia nell’esercizio dei poteri
di controllo ad essa legalmente attribuiti, allo stato non può trovare applicazione il disposto di cui
all’art. 20, comma 1, lett. c) della legge n. 675/1996, che consente ai soggetti privati ed agli enti
pubblici economici di comunicare dati soltanto “in adempimento di un obbligo previsto dalla
legge, da un regolamento o dalla normativa comunitaria”. Ne consegue che l’E.n.e.l., ove destina-
tario di specifiche richieste formulate dalla Provincia o, eventualmente, da società con essa con-
venzionate e ritualmente designate quali “responsabili del trattamento”, ai fini della comunica-
zione dei dati non può prescindere dal rilascio del consenso da parte dei singoli utenti interessati.
• Garante 5 febbraio 1998, in Bollettino n. 3, pag. 38 (v. anche www.garanteprivacy.it: doc. n. 39097)

La legittima aspettativa di un istituto di credito alla prestazione, da parte di ciascun cliente,


del più ampio consenso al trattamento dei dati personali (nel caso di specie attinenti non solo alle
attività necessarie per la prosecuzione del rapporto contrattuale, ma anche alle attività accesso-
rie ed alle informazioni sensibili), non può tradursi in comportamenti tali da vanificare il libero
discernimento dell’oggetto cui si riferisce la manifestazione di volontà; infatti, detto consenso
può essere ritenuto effettivamente libero soltanto qualora costituisca manifestazione del diritto
all’autodeterminazione informativa e, dunque, si ponga al riparo da qualsiasi forma di pressione.
• Garante 13 febbraio 1998, in Bollettino n. 3, pag. 16 (v. anche www.garanteprivacy.it: doc. n. 41978)

In relazione alle modalità di tenuta, da parte di un’associazione professionale a carattere


culturale e sindacale, di un “indirizzario” per la trasmissione di un periodico mensile mediante
abbonamento postale, occorre distinguere a seconda che detto periodico venga spedito solo agli
iscritti all’associazione ovvero agli abbonati anche a prescindere dalla loro eventuale iscrizione.
Infatti, mentre nel primo caso i dati personali relativi agli abbonati, in quanto idonei a rilevare l’a-
desione ad un’associazione sindacale, hanno natura “sensibile” e, quindi, possono essere trat-
tati soltanto dietro acquisizione del consenso scritto dell’interessato e previo rilascio di apposita
autorizzazione da parte del Garante, nel secondo caso tali dati sono soltanto “comuni” e, per-
tanto, salva l’ipotesi che si tratti di dati conoscibili da chiunque, possono essere trattati solo a
seguito di adeguata informativa e di rilascio del consenso orale da parte dell’interessato, purché
documentato per iscritto (anche su modulo predisposto dal titolare del trattamento).
• Garante 27 marzo 1998, in Bollettino n. 4, pag. 30 (v. anche www.garanteprivacy.it: doc. n. 41922)

I contratti collettivi di lavoro, stante la persistente mancata attuazione della disciplina sul-
l’organizzazione sindacale prevista dall’art. 39 della Costituzione, hanno natura di contratti di
diritto privato, sicché, ai fini dell’applicazione dei principi della legge n. 675/1996 sul tratta-
mento dei dati personali, non possono essere considerati alla stregua di vere e proprie disposi-

48 Massimario 1997/2001 • Presupposti e modalità del trattamento


zioni normative. Ne consegue che, in assenza di espresse norme di legge o di regolamento,
all’I.n.p.g.i., nonostante l’espressa previsione contenuta nella contrattazione collettiva (art. 33),
non è consentito di portare autonomamente a conoscenza delle imprese editrici i dati relativi alla
posizione pensionistica dei propri iscritti, occorrendo, ai sensi dell’art. 20 della legge n. 675/1996,
l’acquisizione del preventivo consenso dei giornalisti interessati.
• Garante 13 maggio 1998, in Bollettino n. 4, pag. 45 (v. anche www.garanteprivacy.it: doc. n. 40807)

I soggetti pubblici, a differenza dei soggetti privati e degli enti pubblici economici, non
devono acquisire il consenso scritto degli interessati per poter trattare i dati sensibili, in quanto
per essi le garanzie in favore degli interessati debbono essere basate non sul consenso ma su
una puntuale disposizione di legge che specifichi i tipi dei dati che possono essere trattati, le
operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite.
• Garante 27 maggio 1998, in Bollettino n. 4, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40691)

Ai sensi dell’art. 22 della legge n. 675/1996, il trattamento dei dati sensibili da parte di pri-
vati o di enti pubblici economici può avvenire soltanto con il consenso scritto e l’autorizzazione
del Garante (art. 22, comma 1), mentre qualora ad effettuare detto trattamento siano dei soggetti
pubblici è sufficiente l’esistenza di una puntuale disposizione di legge che specifichi i dati che
possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico per-
seguite (art. 22, comma 3); ne consegue che l’A.V.I.S., quale soggetto privato, ai fini del tratta-
mento dei dati idonei a rivelare lo stato di salute rilevabili dalle schede relative ai donatori di san-
gue, è tenuta ad acquisire – previa informativa ai sensi dell’art. 10 della legge – il consenso
scritto di ciascun interessato e la preventiva autorizzazione del Garante, peraltro già rilasciata
con apposito provvedimento generale.
• Garante 29 maggio 1998, in Bollettino n. 4, pag. 22 (v. anche www.garanteprivacy.it: doc. n. 30847)

Ai sensi dell’art. 22 della legge n. 675/1996, il trattamento dei dati sensibili da parte di pri-
vati o di enti pubblici economici può avvenire soltanto con il consenso scritto e l’autorizzazione
del Garante (art. 22, comma 1), mentre qualora ad effettuare detto trattamento siano dei soggetti
pubblici è sufficiente l’esistenza di una puntuale disposizione di legge che specifichi i dati che
possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico per-
seguite (art. 22, comma 3); ne consegue che le Ferrovie dello Stato s.p.a., quale soggetto privato,
ai fini del trattamento dei dati idonei a rivelare lo stato di salute rilevabili da parte del servizio
sanitario interno, sono tenute ad acquisire – previa informativa ai sensi dell’art. 10 della legge –
il consenso scritto di ciascun interessato (sia esso un dipendente della società oppure un terzo)
e la preventiva autorizzazione del Garante (ove il trattamento non rientri nelle ipotesi già consi-
derate dalle autorizzazioni generali per il trattamento dei dati sensibili nei rapporti di lavoro e
per il trattamento dei dati idonei a rivelare lo stato di salute).
• Garante 29 maggio 1998, in Bollettino n. 4, pag. 23 (v. anche www.garanteprivacy.it: doc. n. 39260)

CONSENSO > PROFILI GENERALI > 49


La richiesta di un consorzio di carattere nazionale alle associazioni di categoria affiliate di
fornire gli elenchi dei nominativi dei rispettivi iscritti, provenendo da soggetto avente natura pri-
vata, comporta una comunicazione di dati personali a terzi che, in difetto di una disposizione nor-
mativa che la autorizzi, ai sensi dell’art. 20, comma 1 della legge n. 675/1996 è ammessa solo
con il consenso espresso degli interessati (fattispecie relativa alla richiesta indirizzata dal
Consorzio nazionale imballaggi alle associazioni di categoria dei produttori).
• Garante 26 ottobre 1998, in Bollettino n. 6, pag. 122 (v. anche www.garanteprivacy.it: doc. n. 42034)

Le aziende speciali istituite ai sensi dell’art. 23 della legge n. 142/1990, avendo natura giu-
ridica di enti pubblici economici, sono soggette alla disciplina che la legge n. 675/1996 prevede
per i soggetti privati, che consente la comunicazione dei dati personali solo in presenza del con-
senso dell’interessato o di uno dei presupposti, ad esso equipollenti, indicati dall’art. 20, comma
1, lett. c) e g) (fattispecie relativa alla comunicazione al proprietario di un immobile dei dati
riguardanti l’intestatario delle utenze ad esso relative).
• Garante 26 ottobre 1998, in Bollettino n. 6, pag. 126 (v. anche www.garanteprivacy.it: doc. n. 39500)

La legge n. 675/1996 non ha introdotto alcun divieto nei confronti del c.d. “benefondi”
(consistente nell’accertamento, anche informale, attraverso il quale viene garantita l’esi-
stenza, presso una banca o una sede o filiale della stessa, della provvista corrispondente agli
assegni emessi). Il benefondi, infatti, è certamente riconducibile alle attività che la banca deve
descrivere, sia pure in termini generali, nei modelli di informativa e di acquisizione del con-
senso, che debbono comprendere le operazioni di comunicazione dei dati a terzi ed i tratta-
menti temporanei che questi ultimi sono tenuti ad effettuare per la corretta esecuzione dei ser-
vizi richiesti.
• Garante 30 novembre 1998, in Bollettino n. 6, pag. 85 (v. anche www.garanteprivacy.it: doc. n. 39416)

La legge n. 675/1996 non ha vietato la raccolta e l’utilizzazione dei dati personali per fina-
lità commerciali e di marketing; tali operazioni, però, ai sensi degli artt. 12 e 20 della legge,
richiedono la previa informativa agli interessati nonché, eccettuati alcuni casi, l’acquisizione del
relativo consenso (fattispecie relativa all’invio alla clientela da parte di una società che gestisce
carte di credito a pagamento, insieme all’estratto conto, anche di materiale pubblicitario relativo
a servizi offerti dalla società o da terzi).
• Garante 19 dicembre 1998, in Bollettino n. 6, pag. 25 (v. anche www.garanteprivacy.it: doc. n. 39180)

L’art. 11 della legge n. 675/1996 prevede che il consenso al trattamento dei dati
“comuni” possa intendersi validamente prestato dall’interessato solo se espresso libera-
mente, in forma specifica (nel senso che deve riguardare un preciso genere di trattamento
effettuato a cura di un ben individuato titolare) e documentato per iscritto, oltre che preceduto

50 Massimario 1997/2001 • Presupposti e modalità del trattamento


dalla necessaria informativa; va, quindi, esclusa ogni forma presunta o tacita di manifesta-
zione del consenso.
• Garante 24 dicembre 1998, in Bollettino n. 6, pag. 119 (v. anche www.garanteprivacy.it: doc. n. 40173)

La disciplina prevista per i trattamenti dei dati da parte dei soggetti pubblici (artt. 27 e 22,
comma 3 della legge n. 675/1996) non ha alcun collegamento con la disposizione recante i casi
di esclusione del consenso di cui all’art. 12, che si applica all’attività di privati e di enti pubblici
economici.
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 78 (v. anche www.garanteprivacy.it: doc. n. 39268)

La disciplina sulla “privacy” non preclude ad un titolare di richiedere il consenso al tratta-


mento anche nell’interesse di altri titolari, purché detto consenso, ai sensi dell’art. 11, comma 3
della legge n. 675/1996, venga prestato “in forma specifica”, e cioè in relazione ad un preciso
genere di trattamento (di cui siano evidenziate, previa adeguata informativa, le finalità), effet-
tuato da un ben individuato titolare.
• Garante 16 febbraio 1999, in Bollettino n. 7, pag. 31 (v. anche www.garanteprivacy.it: doc. n. 40627)

Nel corso dell’istruttoria di una pratica di finanziamento debbono essere tenuti distinti i
trattamenti, ivi compresa la comunicazione dei dati, strettamente necessari per la gestione delle
operazioni e dei servizi richiesti dal cliente, in ordine ai quali si rende necessario il consenso al
conferimento dei dati al fine di permettere la stessa operatività dei rapporti tra le parti, dalle
eventuali ulteriori utilizzazioni dei dati stessi, per finalità – commerciali, statistiche, ecc. – in rela-
zione alle quali, in quanto non strettamente collegate a dette operazioni e servizi, deve essere
garantita l’assoluta libertà di esprimere il consenso.
• Garante 16 giugno 1999, in Bollettino n. 9, pag. 32 (v. anche www.garanteprivacy.it: doc. n. 40895)

Il trattamento di dati connesso all’acquisizione delle impronte digitali dei clienti di un cen-
tro sportivo privato non contrasta, di per sé, con la legge n. 675/1996, a condizione che agli inte-
ressati (ossia alle persone che si sono iscritte o che comunque accedono al centro) sia fornita,
anche oralmente, la prescritta informativa (art. 10) e sia richiesto, se necessario, il relativo con-
senso (artt. 11 e 12).
• Garante 19 novembre 1999, in Bollettino n. 10, pag. 68 (v. anche www.garanteprivacy.it: doc. n. 42058)

Le offerte di lavoro riportate su annunci pubblicati in quotidiani o periodici debbono recare


adeguate informative sul trattamento dei dati raccolti; in caso contrario, le dichiarazioni di con-
senso al trattamento spesso richieste per l’invio dei curricula sono da ritenersi invalide.
• Garante 13 gennaio 2000, in Bollettino n. 11/12, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 42276)

CONSENSO > PROFILI GENERALI > 51


Il consenso può ritenersi validamente prestato solo ove fondato su un’informativa ade-
guata, sicché i vizi attinenti alla mancanza, all’incompletezza o all’inesattezza dell’informativa si
riflettono inevitabilmente sulla validità della sua manifestazione.
• Garante 13 gennaio 2000, in Bollettino n. 11/12, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 42276)

Gli estremi identificativi delle utenze telefoniche intestate ai singoli condòmini o ai loro
familiari non possono essere annoverati tra quelli oggetto di necessaria ed obbligatoria comuni-
cazione all’interno del condominio, in quanto non rappresentano elementi utili a determinare i
diritti o gli oneri sulla cosa comune, ne è rinvenibile alcun obbligo di legge in tal senso. Resta,
peraltro, ferma la possibilità per l’amministratore di condominio di comunicare i numeri di tele-
fono ai condòmini richiedenti, con il consenso degli interessati (art. 11 della legge n. 675/1996).
• Garante 19 maggio 2000, in Bollettino n. 13, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 42268)

L’uso, a fini di propaganda elettorale, dei dati degli iscritti ad un’associazione deve essere
previsto espressamente nello statuto dell’associazione stessa o in una chiara informativa resa
agli interessati, formulata secondo le prescrizioni contenute nell’art. 10 della legge n. 675/196,
onde permettere loro una consapevole manifestazione di volontà diretta a consentire, o meno,
tale trattamento (fattispecie nella quale il Garante ha segnalato all’associazione la necessità di
astenersi, in difetto delle menzionate condizioni, dal comunicare i dati degli associati ad un can-
didato ad una consultazione elettorale al fine di sostenerne la candidatura).
• Garante 9 ottobre 2000, in Bollettino n. 14/15, pag. 17 (v. anche www.garanteprivacy.it: doc. n. 39937)

La pubblicazione di dati personali in una bacheca situata all’interno di un consorzio, ma in


luogo accessibile facilmente da chiunque, deve essere considerata “diffusione” di dati personali,
secondo l’accezione offerta dall’art. 1, comma 2, lett. h), della legge n. 675/1996, che necessita,
ai sensi dell’art. 10 della legge, di una previa informativa agli interessati, onde permettere loro
una consapevole manifestazione di volontà diretta a consentire, o meno, tale trattamento (fatti-
specie nella quale il Garante ha segnalato al consorzio la necessità di astenersi dall’affiggere
nella bacheca, in difetto della previa informativa e della prestazione del relativo consenso, un
prospetto contabile riguardante la situazione debitoria dei consorziati).
• Garante 6 dicembre 2000, in Bollettino n. 14/15, pag. 14 (v. anche www.garanteprivacy.it: doc. n. 38957)

Il giornalista che raccoglie dati personali presso una struttura sanitaria deve fornire una
adeguata informativa agli interessati, che tenga conto delle condizioni psicofisiche dei pazienti
(nella specie, soggetti anoressici) e della loro concreta capacità di esprimere una manifestazione
di volontà realmente consapevole degli effetti derivanti dalla diffusione dei dati e delle immagini
che li riguardano.
• Garante 20 giugno 2001, in Bollettino n. 21, pag. 4 (v. anche www.garanteprivacy.it: doc. n. 39512)

52 Massimario 1997/2001 • Presupposti e modalità del trattamento


Esclusione

Adempimento di un obbligo di legge

Le banche, l’Ente Poste Italiane (ora Poste italiane s.p.a., N.d.R.) e gli altri intermediari
incaricati della trasmissione al Ministero delle finanze delle dichiarazioni fiscali e contributive,
non sono tenuti, a tale fine, a richiedere il consenso degli interessati, trattandosi dell’adempi-
mento di un obbligo di legge (art. 20, comma 1, lett. c) della legge n. 675/1996).
• Garante 29 dicembre 1997, in Bollettino n. 2, pag. 64 (v. anche www.garanteprivacy.it: doc. n. 39057)

Le aziende speciali esercenti servizi pubblici, quali enti strumentali del Comune per la
gestione dei servizi dell’ente locale (art. 23, comma 6 della legge n. 142/1990), essendo assog-
gettate, in quanto enti pubblici economici, al regime che la legge n. 675/1996 prevede per i sog-
getti privati che trattano dati personali, sono tenute all’osservanza, fra l’altro, della disposizione
dell’art. 20, comma 1, lett. c), che esime tali soggetti dall’obbligo di richiedere il consenso del-
l’interessato nel caso in cui il trattamento sia effettuato per adempiere ad una disposizione con-
tenuta in una legge, in una norma comunitaria o in un regolamento. Si configura, quindi, come
obbligo di tali aziende quello di comunicare ai consiglieri comunali i dati che questi richiedano,
al fine dell’espletamento del loro mandato, nell’esercizio del generale diritto di accesso, loro
conferito dall’art. 31, comma 5 della legge n. 142/1990, ai dati contenuti negli archivi del
Comune e delle aziende ed enti da questo dipendenti (fattispecie relativa alla richiesta di un
consigliere comunale di conoscere i nominativi dei dipendenti dell’azienda preposti alle sedi
territoriali della stessa).
• Garante 10 giugno 1998, in Bollettino n. 5, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 39348)

In linea di principio, le disposizioni della legge n. 675/1996 non incidono, né pongono osta-
coli nei confronti di precise disposizioni normative in base alle quali deve essere effettuata una
comunicazione di dati personali. Ne consegue che quando una norma di legge o di regolamento
prevede l’obbligo per un gestore del servizio telefonico di rendere disponibili, nei confronti del-
l’amministrazione vigilante, talune informazioni sugli abbonati, ai fini del controllo sul corretto
esercizio della concessione, la comunicazione dei dati è ammessa anche senza il consenso degli
abbonati interessati, in conformità alla condizione individuata dall’art. 20, comma 1, lett. c),
della legge.
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 107 (v. anche www.garanteprivacy.it: doc. n. 30851)

Ai sensi dell’art. 20, comma 1, lett. c), della legge n. 675/1996, la comunicazione dei dati
relativi all’indebitamento della clientela effettuata dagli intermediari finanziari alla Centrale

CONSENSO > ESCLUSIONE > 53


ADEMPIMENTO DI UN OBBLIGO DI LEGGE
rischi della Banca d’Italia, in quanto dovuta per legge, non è sottoposta all’obbligo della pre-
ventiva acquisizione del consenso dei singoli interessati, cui resta preclusa la possibilità di chie-
dere la cancellazione dei dati o di opporsi al relativo trattamento.
• Garante 17 ottobre 2001, in Bollettino n. 23, pag. 29 (v. anche www.garanteprivacy.it: doc. n. 40907)

Agenti di cambio

Ai sensi dell’art. 12, comma 1, lett. b) della legge n. 675/1996, gli studi professionali degli
agenti di cambio non sono tenuti a richiedere ai propri clienti il consenso per l’uso professio-
nale dei dati personali, trattandosi di trattamento necessario per l’esecuzione di obblighi deri-
vanti da un contratto di cui, peraltro, sono parte gli stessi interessati. Qualora, invece, detto
trattamento si concretizzi in una comunicazione o in una diffusione a terzi dei dati personali,
l’acquisizione del consenso dell’interessato è dovuta, sempre che non ricorrano i presupposti
di cui all’art. 20, comma 1, lett. e) della legge n. 675/1996. In ogni caso permane l’obbligo di
rendere un’idonea informativa.
• Garante 22 luglio 1997, in Bollettino n. 1, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 39656)

Appalti pubblici

La normativa sugli appalti pubblici (d.lg. n. 157/1985 per gli appalti di beni e servizi;
d.lg. n. 358/1992 per gli appalti di forniture e lavori) attribuisce alle amministrazioni la facoltà
di richiedere alle imprese concorrenti di dimostrare le proprie capacità tecniche mediante la
produzione di un elenco dei principali servizi e forniture effettuati negli ultimi tre anni d’attività,
con l’indicazione degli importi, delle date e dei destinatari delle prestazioni. Analogamente, le
imprese partecipanti possono comunicare tali dati alle amministrazioni richiedenti, nel rispetto
della vigente normativa in materia di segreto aziendale ed industriale, laddove vengano in con-
siderazione dati relativi allo svolgimento di attività economiche (artt. 12, comma 1, lett. f ) ed
art. 20, comma 1, lett. e) della legge n. 675/1996); ne consegue che le imprese concorrenti, ai
fini in questione, non sono tenute ad acquisire il consenso degli interessati (cui dev’essere for-
nita soltanto l’informativa di cui all’art. 10), mentre le amministrazioni appaltanti sono tenute
a rispettare le disposizioni che, anche al di fuori della legge n. 675/1996 e della disciplina
sugli appalti, tutelano i diritti delle società offerenti e che prescrivono, tra l’altro, non solo di
chiedere le informazioni non eccedenti l’oggetto dell’appalto (ad esempio: necessità effettiva
di acquisire copie di fatture in luogo di altra documentazione equipollente), ma anche di
tenere in debita considerazione “gli interessi legittimi del concorrente relativi alla protezione
di interessi tecnici e commerciali” (art. 14, comma 3, d.lg. n. 358/1992; art. 14, comma 3, d.lg.
n. 157/1995).
• Garante 16 febbraio 1999, in Bollettino n. 7, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 42320)

54 Massimario 1997/2001 • Presupposti e modalità del trattamento


Attività economiche

Ai sensi degli artt. 12, comma 1, lett. a) e 20, comma 1, lett. c), della legge n. 675/1996, non
è necessario acquisire il preventivo consenso dell’interessato per le operazioni di trattamento
dei dati effettuate dagli istituti di credito in adempimento di obblighi derivanti da norme di legge
o di regolamento, tra cui quelle previste dal T.U. delle leggi in materia bancaria e finanziaria; in
particolare, ai sensi degli artt. 53, comma 1, lett. b), 67, comma 1, lett. b) e 107, comma 2, della
legge n. 385/1993, tutte le banche sono tenute a segnalare al servizio di centralizzazione dei
rischi creditizi gestito dalla Banca d’Italia i crediti di un certo importo o comunque in sofferenza
(in conformità alle deliberazioni del C.I.C.R. e alle disposizioni impartite dalla Banca d’Italia nel-
l’ambito dei suoi poteri di vigilanza regolamentare), indipendentemente dall’esistenza di even-
tuali vincoli derivanti, per l’istituto segnalante e per i relativi dipendenti, da pregressi obblighi
contrattuali o relativi al segreto bancario.
• Garante 25 febbraio 2000, in Bollettino n. 11/12, pag. 31 (v. anche www.garanteprivacy.it: doc. n. 39248)

Ai sensi degli artt. 12, comma 1, lett. f) e 20, comma 1, lett. e), della legge n. 675/1996, le infor-
mazioni relative alla solvibilità o allo stato di insolvenza di un’impresa (oppure ai crediti o ai debiti
ad essa riferiti) rientrano nella nozione di dati relativi allo svolgimento di attività economiche, la cui
utilizzazione e divulgazione a terzi può avvenire anche senza il consenso dell’interessato.
• Garante 26 febbraio 2000, in Bollettino n. 11/12, pag. 31 (v. anche www.garanteprivacy.it: doc. n. 39248)
• Garante 2 marzo 2000, in Bollettino n. 11/12, pag. 28 (v. anche www.garanteprivacy.it: doc. n. 40699)

L’art. 13 della legge n. 675/1996 riconosce all’interessato il diritto di ottenere la cancella-


zione solamente dei dati trattati in violazione di legge. È quindi infondato, e deve essere conse-
guentemente respinto, il ricorso proposto dall’interessato ai sensi dell’art. 29 della legge per
ottenere da un istituto di credito la cancellazione dei dati riguardanti la propria situazione patri-
moniale, raccolti in relazione ad una richiesta di finanziamento, qualora tali dati – che, ai sensi
degli artt. 12, comma 1, lett. f ) e 20, comma 1, lett. e), della legge n. 675/1996, in quanto atten-
gono allo svolgimento di attività economiche, possono essere trattati anche senza il consenso
dell’interessato – siano detenuti in attuazione di disposizioni impartite dall’autorità di vigilanza
in tema di rilevazione del rischio creditizio e di obblighi di legge in materia di scritture e docu-
menti contabili che ne delimitano le modalità di utilizzo, imponendone anche la conservazione
solo per periodi di tempo determinati.
• Garante 6 febbraio 2001, in Bollettino n. 17, pag. 28 (v. anche www.garanteprivacy.it: doc. n. 40879)

Le operazioni di trattamento di dati svolte da una banca e finalizzate all’acquisizione


presso la Centrale rischi della Banca d’Italia ed al successivo utilizzo per finalità aziendali di
informazioni relative alle esposizioni di un cliente, o alle garanzie da questi prestate nei con-
fronti di terzi, risultano in via generale legittime, e la loro effettuazione non è necessariamente

CONSENSO > ESCLUSIONE > 55


ATTIVITÀ ECONOMICHE
subordinata al previo consenso dell’interessato, potendo operare anche i presupposti di cui
agli artt. 12, lett. f ) e 20, comma 1, lett. e), della legge n. 675/1996, secondo cui il trattamento
e la comunicazione dei dati a terzi è ammessa “se i dati sono relativi allo svolgimento di attività
economiche , nel rispetto della vigente normativa in materia di segreto aziendale e industriale“.
Quest’ultima espressione va intesa come divieto di divulgare, in taluni casi, notizie attinenti
all’organizzazione o a determinati metodi di produzione di un’impresa, ovvero come obbligo di
non divulgare talune conoscenze tecniche, ma non preclude ad una banca di effettuare, in con-
formità alle leggi, determinate verifiche sulla solidità economica di un soggetto anche presso la
menzionata Centrale rischi.
• Garante 10 aprile 2001, in Bollettino n. 19, pag. 26 (v. anche www.garanteprivacy.it: doc. n. 31015)

Il d.lg. 24 luglio 1992, n. 358, recante il “Testo Unico delle disposizioni in materia di appalti
pubblici di forniture”, prevede che le imprese partecipanti alle gare d’appalto possano compro-
vare i propri requisiti tecnici anche attraverso la produzione di appositi documenti, tra cui l’e-
lenco attestante le principali forniture effettuate negli ultimi tre anni, corredato dall’indicazione
degli importi corrispondenti, della data e del destinatario della fornitura. Ne consegue che, qua-
lora dalla suddetta documentazione emergano informazioni afferenti a distinte società con cui in
precedenza l’attuale concorrente abbia instaurato rapporti negoziali, la connessa comunicazione
di dati non solo è conforme alle specifiche disposizioni del d.lg. n. 358/1992, ma è comunque
rispettosa dei principi di cui alla legge n. 675/1996, trattandosi di dati relativi allo svolgimento
di attività economiche del titolare del trattamento che, ai sensi dell’art. 20, comma 1, lett. e), non
sono soggetti alla preventiva acquisizione del consenso dell’interessato.
• Garante 27 giugno 2001, in Bollettino n. 21, pag. 6 (v. anche www.garanteprivacy.it: doc. n. 40667)

Attività giornalistica
• V.: PRIVATI ED ENTI PUBBLICI ECONOMICI > SETTORI DI ATTIVITÀ > ATTIVITÀ GIORNALISTICA (P. 81)

Diritto di difesa

La raccolta di informazioni sul luogo di lavoro, effettuata da investigatori privati in occa-


sione di una specifica attività d’indagine commissionata dal datore di lavoro, non necessita della
preventiva acquisizione del consenso del dipendente interessato ove venga svolta in ossequio
alle disposizioni contenute nella legge n. 300/1970 e per il solo periodo strettamente necessa-
rio per far valere, anche in sede giudiziaria, i diritti connessi al rapporto di lavoro.
• Garante 21 novembre 2001, in Bollettino n. 23, pag. 98 (v. anche www.garanteprivacy.it: doc. n. 42106)

56 Massimario 1997/2001 • Presupposti e modalità del trattamento


Fondo nazionale di garanzia nel settore dei valori mobiliari

Ai sensi degli artt. 12, comma 1, lett. a) e 20, comma 1, lett. c) della legge n. 675/1996,
le operazioni di trattamento dei dati personali comuni necessarie per lo svolgimento delle
attività d’indennizzo espletate dal Fondo nazionale di garanzia nel settore dei valori mobi-
liari, non necessitano della preventiva acquisizione del consenso degli intermediari aderenti
al Fondo e degli investitori (creditori) interessati, trattandosi di attività riconducibile ai casi
di esclusione del consenso che la legge n. 675/1996 prevede in riferimento all’adempimento
di obblighi di legge o di regolamento (nel caso di specie i decreti del Ministero del tesoro del
30 settembre 1991 e del 14 settembre 1997, n. 485) o, comunque, derivanti dalla normativa
comunitaria. Restano, invece, soggetti al rilascio del consenso e, in genere, agli ulteriori
obblighi stabiliti dalla legge n. 675/1996 i trattamenti di dati connessi alle ordinarie attività
di funzionamento dell’ente (es.: dati relativi al personale dipendente, ai fornitori ed ai pro-
fessionisti).
• Garante 23 gennaio 1998, in Bollettino n. 3, pag. 25 (v. anche www.garanteprivacy.it: doc. n. 41047)

Pubblicazioni occasionali
• V.: PRIVATI ED ENTI PUBBLICI ECONOMICI > SETTORI DI ATTIVITÀ > ATTIVITÀ GIORNALISTICA >
PUBBLICAZIONI OCCASIONALI (P. 84)

Richieste referendarie

L’esercizio di un diritto politico non può essere subordinato in alcun modo alla prestazione
di un consenso che lo leghi indissolubilmente a forme ulteriori di utilizzazione dei dati dell’elet-
tore; pertanto, la sottoscrizione della richiesta referendaria dev’essere tenuta distinta dal con-
senso eventualmente richiesto all’interessato per altre utilizzazioni dei dati raccolti (cognome e
nome, indirizzo e numero d’iscrizione nelle liste elettorali).
• Garante 28 luglio 1997, in Bollettino n. 1, pag. 24 (v. anche www.garanteprivacy.it: doc. n. 40057)

La sottoscrizione delle richieste referendarie, costituendo esercizio di un diritto politico


fondamentale dell’individuo, non è soggetta a particolari limiti dalla legge n. 675/1996. Di con-
seguenza, relativamente alle iniziative referendarie ed ai trattamenti di dati personali a ciò fina-
lizzati, non è necessaria alcuna manifestazione di consenso ulteriore rispetto alla sottoscrizione
delle richieste referendarie, per la cui validità, ai sensi della legge n. 352/1970, i promotori sono
tenuti a raccogliere alcuni specifici dati personali dei sottoscrittori e a darne comunicazione agli
organi preposti alla verifica della regolarità delle richieste.
• Garante 28 luglio 1997, in Bollettino n. 1, pag. 24 (v. anche www.garanteprivacy.it: doc. n. 40057)

CONSENSO > ESCLUSIONE > 57


FONDO NAZIONALE DI GARANZIA NEL SETTORE DEI VALORI MOBILIARI
Soggetti pubblici

Ai sensi dell’art. 27, comma 1 della legge n. 675/1996, i soggetti pubblici non devono
richiedere il consenso degli interessati per poter trattare i relativi dati personali, ma devono sol-
tanto verificare che i singoli trattamenti e le categorie di dati siano riconducibili alle proprie fina-
lità istituzionali e siano effettuati nel rispetto di eventuali limiti previsti dalle normative di riferi-
mento o da disposizioni speciali; inoltre, il consenso non dev’essere richiesto neanche per la
comunicazione e diffusione dei dati, allorché tali operazioni siano espressamente previste da
una norma di legge o di regolamento ovvero, in via residuale, quando si rendano necessarie per
lo svolgimento delle funzioni istituzionali delle amministrazioni interessate. Resta fermo, in ogni
caso, l’obbligo d’informativa di cui all’art. 10 della legge n. 675/1996.
• Garante 13 marzo 1998, in Bollettino n. 4, pag. 62 (v. anche www.garanteprivacy.it: doc. n. 40557)

Ai fini del trattamento dei dati sensibili, le pubbliche amministrazioni (nel caso specifico i
comuni), a differenza di quanto previsto per i soggetti privati, non sono tenute a richiedere né il
consenso scritto dei singoli interessati né l’autorizzazione preventiva del Garante, essendo suf-
ficiente, ai sensi dell’art. 22, comma 3 della legge n. 675/1996, l’esistenza di un’espressa dis-
posizione di legge che, nell’autorizzare il trattamento, specifichi i dati che possono essere trat-
tati, le operazioni eseguibili e le rilevanti finalità d’interesse pubblico perseguite.
• Garante 13 marzo 1998, in Bollettino n. 4, pag. 62 (v. anche www.garanteprivacy.it: doc. n. 40557)

Le pubblicazioni di matrimonio di cui agli artt. 93 e ss. del codice civile, consistendo uni-
camente in affissioni all’albo pretorio dei comuni di residenza dei nubendi, sono pubbliche e,
come tali, possono essere visionate da chiunque e riferite sugli organi di stampa, ma non pos-
sono essere comunicate o diffuse da parte dell’ufficiale di stato civile al di fuori dei modi espres-
samente previsti dalla normativa in materia. A fortiori, tale divieto di comunicazione e diffusione
vale per le richieste di pubblicazione che, non solo possono non sfociare nella pubblicazione
(art. 98 c.c.), ma sono annotate nell’apposito registro per il quale valgono, in via generale, le
norme stabilite dal codice civile e dal r.d. n. 1238/1939 per i registri di cittadinanza, di nascita, di
matrimonio e di morte, che non prevedono una loro libera consultabilità da parte dei privati. È
irrilevante, in ogni caso, qualsiasi consenso fornito dagli interessati alla diffusione di tali elen-
chi, vertendosi in tema di trattamento di dati operato da soggetti pubblici.
• Garante 29 maggio 1998, in Bollettino n. 4, pag. 65 (v. anche www.garanteprivacy.it: doc. n. 41055)

Ai sensi della legge n. 675/1996, i Consigli dell’Ordine possono raccogliere e fornire a terzi
elenchi di liberi professionisti e di altri operatori del settore di riferimento qualora i dati oggetto
di trattamento provengano da pubblici registri, elenchi, atti o documenti conoscibili da chiunque,
oppure riguardino lo svolgimento di attività economiche da parte degli interessati (art. 12,
comma 1, lett. c) ed f ); art. 20, comma 1, lett. b) ed e)). In caso contrario, il trattamento dei dati

58 Massimario 1997/2001 • Presupposti e modalità del trattamento


non può prescindere dal preventivo consenso degli interessati (es.: soggetti che, pur non
essendo liberi professionisti, siano comunque inseriti in detti elenchi).
• Garante 14 gennaio 1999, in Bollettino n. 7, pag. 9 (v. anche www.garanteprivacy.it: doc. n. 39244)

Le università, quali soggetti pubblici dotati di autonoma personalità giuridica (artt. 6 e 7


della legge 9 maggio 1989, n. 168), nel trattare i dati personali degli iscritti ai corsi di studio deb-
bono attenersi al disposto di cui agli artt. 27 (dati comuni) e 22 comma 3 (dati sensibili) della
legge n. 675/1996, nonché alla disciplina transitoria di cui all’art. 41, comma 5 della legge (per i
trattamenti iniziati prima dell’8 maggio 1997 e proseguiti sino all’8 maggio 1999); comunque,
stante la loro natura, pur essendo tenute a rendere adeguata informativa ai sensi dell’art. 10
della legge, ai fini del trattamento non sono tenute ad acquisire il previo consenso degli interes-
sati.
• Garante 1 febbraio 1999, in Bollettino n. 7, pag. 54 (v. anche www.garanteprivacy.it: doc. n. 30871)

I comuni, al pari degli altri soggetti pubblici, non devono richiedere il consenso degli inte-
ressati per poter trattare i dati inerenti alle persone fisiche o giuridiche, essendo sufficiente che
i singoli trattamenti siano riconducibili – al pari dei dati trattati – alle finalità istituzionali del-
l’ente e che siano concretamente rispettate eventuali specifiche limitazioni poste da norme spe-
ciali di riferimento.
• Garante 16 febbraio 1999, in Bollettino n. 7, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 42320)

I soggetti pubblici, a differenza dei privati e degli enti pubblici economici, non devono
richiedere il consenso degli interessati e l’autorizzazione del Garante per poter trattare i dati sen-
sibili, ma devono verificare che tali trattamenti siano conformi a puntuali disposizioni di legge
che specifichino i tipi dei dati che possono trattare, le operazioni eseguibili e le rilevanti finalità
di interesse pubblico perseguite (fattispecie anteriore all’entrata in vigore del d.lg. n. 135/1999).
• Garante 14 maggio 1999, in Bollettino n. 8, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 38977)

I soggetti pubblici, a differenza dei privati e degli enti pubblici economici, non devono
richiedere il consenso degli interessati e l’autorizzazione del Garante per poter trattare dati
sensibili, ma, ai sensi dell’art. 22, comma 3 della legge n. 675/1996, come modificato dal d.lg.
n. 135/1999, devono verificare che tali trattamenti siano conformi a puntuali disposizioni di
legge che specifichino i tipi dei dati che possono essere trattati, le operazioni eseguibili e le
rilevanti finalità di interesse pubblico perseguite (principio espresso in risposta a un quesito
posto da una pubblica amministrazione relativo al trattamento dei dati sensibili dei propri
dipendenti per la gestione del rapporto di lavoro).
• Garante 9 giugno 1999, in Bollettino n. 9, pag. 18 (v. anche www.garanteprivacy.it: doc. n. 39184)

CONSENSO > ESCLUSIONE > 59


SOGGETTI PUBBLICI
L’inserimento della formula del consenso al trattamento dei dati non è necessaria allorché la
compilazione del coupon sia richiesta da soggetti pubblici ovvero, ai sensi dell’art. 12, comma 1,
della legge n. 675/1996, sia necessario al solo fine dell’invio di specifico materiale richiesto da
parte della società o dell’organismo che lo riceve.
• Garante 13 gennaio 2000, in Bollettino n. 11/12, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 42276)

Per il trattamento dei dati aventi natura sensibile, i soggetti pubblici non devono acquisire
il consenso degli interessati o rispettare l’autorizzazione del Garante, ma debbono piuttosto
attenersi al disposto dell’art. 22, commi 3 e 3 bis, della legge n. 675/1996, come modificato dal
d.lg. n. 135/1999, che consente il trattamento di tali dati solo se autorizzato da espresse dispo-
sizioni normative che specifichino i dati che possono essere trattati, le operazioni eseguibili e le
rilevanti finalità di interesse pubblico perseguite.
• Garante 20 giugno 2000, in Bollettino n. 13, pag. 27 (v. anche www.garanteprivacy.it: doc. n. 39065)

I soggetti pubblici, ove operino nei limiti previsti dalle finalità istituzionali (art. 27 della
legge n. 675/1996), non devono richiedere l’autorizzazione o il consenso dei cittadini per il trat-
tamento dei dati personali che li riguardano, dovendo, piuttosto, informarli ai sensi dell’art. 10
della legge.
• Garante 5 dicembre 2000, in Bollettino n. 14/15, pag. 22 (v. anche www.garanteprivacy.it: doc. n. 40273)

Casi particolari
Attività sportiva

Benché la legge n. 675/1996 e le autorizzazioni del Garante vietino la diffusione dei dati
idonei a rivelare lo stato di salute dell’interessato (con l’eccezione rappresentata dalla fattispe-
cie contenuta nell’art. 24, comma 4 della legge), tuttavia l’interessato conserva il diritto di ren-
dere pubbliche o meno, anche per interposta persona, le proprie condizioni di salute. Pertanto,
considerata la tendenza invalsa a rendere note talune circostanze relative alla forma degli atleti
impegnati nelle attività agonistiche, le società sportive, oltre ad acquisire il consenso degli atleti
a trattare i dati relativi al loro stato di salute, possono ottenere, a parte, la “delega” a rendere
pubbliche talune circostanze rilevanti per l’interesse pubblico sotteso alle attività stesse, da
individuarsi una tantum ma con precisione, anche con riferimento a determinate categorie di
informazioni.
• Garante 22 giugno 1998, in Bollettino n. 5, pag. 46 (v. anche www.garanteprivacy.it: doc. n. 31035)

60 Massimario 1997/2001 • Presupposti e modalità del trattamento


Il consenso reso dall’atleta alla società sportiva di cui fa parte a trattare i dati sensibili che
lo riguardano, e a comunicare o diffondere quelli comuni, deve essere acquisito sulla base di un’i-
donea informativa, che renda chiare le circostanze indicate nell’art. 10 della legge n. 675/1996,
specie sulle finalità e modalità del trattamento, sull’ambito di diffusione dei dati e sui diritti spet-
tanti ai sensi dell’art. 13 della legge. Il mero inserimento dell’informativa nei c.d. regolamenti fede-
rali non risulta idoneo a consentire all’interessato di rilevare con evidenza ed immediatezza le
informazioni essenziali sul trattamento dei dati, tale da permettergli di esprimere un consenso
libero e consapevole.
• Garante 22 giugno 1998, in Bollettino n. 5, pag. 46 (v. anche www.garanteprivacy.it: doc. n. 31035)

Concessionari di servizi telefonici


• V.: TELECOMUNICAZIONI E RETI TELEMATICHE > CASI PARTICOLARI > CONCESSIONARI DI SERVIZI TELE-
FONICI (P.191)

Coupon

Le società, imprese, enti, associazioni od altri organismi che procedano alla raccolta di dati
attraverso coupon ricavabili da giornali, depliant, lettere e annunci pubblicitari, ovvero mediante
questionari collegati a tessere di “fidelizzazione”, a ricerche di mercato, a lotterie, estrazioni di
premi od offerte di regali, debbono informare in modo adeguato gli interessati e acquisire il loro
consapevole consenso ove ciò sia necessario in base alla legge n. 675/1996 o ad altra disposi-
zione in materia.
• Garante 13 gennaio 2000, in Bollettino n. 11/12, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 42276)

Il consenso dev’essere sempre richiesto quando i dati raccolti tramite coupon abbiano
natura sensibile o siano ceduti a terzi, ovvero vengano utilizzati per studi e ricerche di mercato.
• Garante 13 gennaio 2000, in Bollettino n. 11/12, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 42276)

E-mail e spamming
• V.: TELECOMUNICAZIONI E RETI TELEMATICHE > CASI PARTICOLARI > E-MAIL E SPAMMING (P. 192)

Partiti politici
• V.: CATEGORIE E REQUISITI DEI DATI PERSONALI > DATI SENSIBILI > DATI IDONEI A RIVELARE OPINIONI
POLITICHE > PARTITI POLITICI (P. 17)

CONSENSO > CASI PARTICOLARI > 61


CONCESSIONARI DI SERVIZI TELEFONICI
Pubblicità telefonica
• V.: TELECOMUNICAZIONI E RETI TELEMATICHE > CASI PARTICOLARI > PUBBLICITÀ TELEFONICA (P. 192)

Esercenti le professioni sanitarie

• V.: SOGGETTI PUBBLICI > SETTORI DI ATTIVITÀ > SANITÀ > CASI PARTICOLARI > ESERCENTI LE
PROFESSIONI SANITARIE (P.
152)

Titolare, responsabile, incaricato

Profili generali

Il riferimento alla “persona fisica“, che compare nella definizione del “titolare” contenuta
nell’art. 1 della legge n. 675/1996, alla luce del tenore letterale della disposizione, non riguarda
coloro che amministrano o rappresentano la persona giuridica o la pubblica amministrazione,
bensì gli individui che effettuano un trattamento di dati a titolo personale (es.: un libero profes-
sionista) e che assumono individualmente la piena responsabilità di un’attività che va distinta
nettamente da quella che singole persone fisiche possono coordinare nell’ambito e nell’inte-
resse di una persona giuridica. In quest’ultimo caso, titolare deve essere quindi considerata l’en-
tità nel suo complesso (es.: la società, il ministero, ecc.), quale soggetto cui competono le scelte
di fondo in ordine alla raccolta ed alla utilizzazione dei dati, e non taluna delle persone fisiche
che operano nella relativa struttura e che concorrono ad esprimerne la volontà; tali soggetti pos-
sono semmai, ricorrendone le condizioni, assumere la qualifica di “responsabile” (art. 8 della
legge n. 675/1996). Ciò, peraltro, non esclude che possano essere considerate “titolari” – o con-
titolari – dei trattamenti complesse unità organizzative (quali direzioni generali o aree), interne
alla complessiva struttura, ove queste esercitino un potere decisionale reale e del tutto auto-
nomo sulle finalità e sulle modalità dei trattamenti effettuati nel proprio ambito.
• Garante 9 dicembre 1997, in Bollettino n. 2, pag. 44 (v. anche www.garanteprivacy.it: doc. n. 30915)

Ai sensi dell’art. 1, comma 2, lett. d) della L. 675/1996, il “titolare” è la persona fisica o giu-
ridica, la pubblica amministrazione e qualsiasi altro ente, associazione o organismo cui compe-
tono le scelte di fondo sulle finalità e sulle modalità del trattamento dei dati, anche per ciò che
riguarda la sicurezza.
• Garante 10 giugno 1998, in Bollettino n. 5, pag. 36 (v. anche www.garanteprivacy.it: doc. n. 41794)

62 Massimario 1997/2001 • Presupposti e modalità del trattamento


Ai sensi del d.P.R. n. 600/1973, come modificato dal d.lg. n. 135/1998, e della convenzione
stipulata fra il Ministero delle finanze e l’A.B.I., le società specializzate eventualmente incaricate
dagli istituti di credito di trattare le informazioni contenute nelle dichiarazioni dei redditi dei con-
tribuenti, allo scopo di predisporle in formato elettronico per il successivo inoltro al Ministero,
non possono essere considerate quali autonomi titolari del trattamento; gli istituti di credito
debbono quindi procedere alla nomina del responsabile e delle persone fisiche incaricate di trat-
tare le dichiarazioni.
• Garante 7 luglio 1998, in Bollettino n. 5, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 40377)

Ove il privato, che collabori con il soggetto pubblico e che svolga compiti che comportino
anche attività di trattamento di dati personali, operi nell’ambito di un’attività che ricade nella
sfera di titolarità e responsabilità dell’amministrazione, quest’ultima, quale titolare del tratta-
mento dei dati, deve indicare, con atto scritto, il soggetto che svolga l’eventuale ruolo del
“responsabile” del trattamento svolto per suo conto dal privato (art. 8 della legge n. 675/1996),
da individuarsi nella stessa struttura esterna cui è affidata l’attività, o in un dipendente di que-
sta, oppure in un ufficio o dipendente dell’amministrazione. In ogni caso, è necessario che i
dipendenti della struttura privata operino in qualità di “incaricati del trattamento”, sotto la
diretta sorveglianza e secondo le istruzioni del titolare/soggetto pubblico e del responsabile
(artt. 8, comma 5, e 19 della legge n. 675/1996) (fattispecie attinente al trattamento dei dati per-
sonali svolto da società incaricate da amministrazioni comunali di effettuare misurazioni presso
abitazioni private, con autonomia limitata alla sola concreta disciplina del servizio e ad alcune
scelte tecnico-operative, al fine dell’accertamento della tassa di smaltimento dei rifiuti solidi
urbani, disciplinata dal d.lg. n. 507/1993).
• Garante 29 luglio 1998, in Bollettino n. 5, pag. 54 (v. anche www.garanteprivacy.it: doc. n. 31023)

Nello svolgimento dei propri compiti istituzionali, i soggetti pubblici possono ricorrere alla
collaborazione di privati, cui affidare determinate attività anche attraverso concessioni, appalti o
convenzioni. In tali ipotesi, con riferimento alla problematica relativa al trattamento dei dati per-
sonali, il privato può assumere il ruolo di collaboratore esterno del soggetto pubblico, che
coadiuva l’amministrazione trattando i dati anche al di fuori della relativa struttura, ma nell’am-
bito di un’attività che ricade nella sfera di titolarità e responsabilità dell’amministrazione, la
quale conserva la qualità di titolare del trattamento, oppure può rivestire una figura del tutto
distinta da questa, che decide autonomamente in ordine al trattamento delle informazioni ed
assume le relative responsabilità, assumendo esso stesso la veste di titolare del trattamento.
Nel primo caso, il privato è parte sostanziale della struttura pubblica e rimane quindi soggetto
alla disciplina che la legge n. 675/1996 detta per i soggetti pubblici, nel secondo esso va consi-
derato soggetto autonomo che tratta i dati secondo le regole previste dalla stessa legge per i pri-
vati (fattispecie attinente al trattamento dei dati personali svolto da società incaricate da ammi-
nistrazioni comunali di effettuare misurazioni presso abitazioni private al fine dell’accertamento
della tassa di smaltimento dei rifiuti solidi urbani, disciplinata dal d.lg. n. 507/1993).
• Garante 29 luglio 1998, in Bollettino n. 5, pag. 54 (v. anche www.garanteprivacy.it: doc. n. 31023)

TITOLARE, RESPONSABILE, INCARICATO > PROFILI GENERALI 63


Il titolare del trattamento deve informare l’interessato circa il fatto che i dati personali che
lo riguardano possono essere comunicati, in conformità della legge n. 675/1996, ad un terzo pre-
posto ad elaborazioni finalizzate all’adempimento degli obblighi contabili, fiscali, retributivi,
previdenziali ed assistenziali gravanti sul titolare stesso. Con tale informativa, il titolare deve
specificare se il terzo svolge le predette elaborazioni nella veste di responsabile del trattamento
(art. 8) oppure come autonomo titolare che effettua un distinto trattamento di dati (fattispecie
concernente centri elaborazione dati gestiti da società di consulenza informatica, professionisti,
associazioni ed altri organismi che elaborano per conto terzi dati inerenti a clienti, fornitori e
dipendenti, a fini di gestione amministrativa e contabile).
• Garante 26 novembre 1998, in Bollettino n. 6, pag. 81 (v. anche www.garanteprivacy.it: doc. n. 39624)

Rivestono la qualità di “incaricati del trattamento” i privati/persone fisiche che ricevono


da un soggetto pubblico (attraverso un provvedimento amministrativo o una convenzione) l’in-
carico del trattamento di dati personali connesso all’espletamento dei compiti istituzionali del-
l’amministrazione, da svolgersi sotto la diretta sorveglianza e secondo le istruzioni di questa,
che conserva la qualità di “titolare del trattamento”, e che non comporti decisioni di fondo sulle
finalità e sulle modalità di utilizzazione dei dati, ma limitati margini di autonomia in ordine al
concreto svolgimento del servizio ed a scelte tecnico-operative. Nell’ambito di tale configura-
zione del rapporto, il privato è legittimato ad utilizzare i dati in possesso della struttura pub-
blica, rimanendo però vincolato ad usarli per le sole finalità perseguite dall’amministrazione e
sulla base del particolare regime previsto per quest’ultima (fattispecie relativa al trattamento,
operato da laboratori fotografici, di dati personali dei contravventori alle disposizioni in tema di
limiti di velocità, desunti dalla documentazione fotografica ottenuta con apparecchiature del
tipo autovelox).
• Garante 19 dicembre 1998, in Bollettino n. 6, pag. 75 (v. anche www.garanteprivacy.it: doc. n. 40313)

Secondo la legge n. 675/1996, per “titolare” deve intendersi la persona fisica o giuridica,
la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le
scelte di fondo sulle finalità e sulle modalità del trattamento dei dati personali, anche sotto il
profilo della loro sicurezza.
• Garante 16 febbraio 1999, in Bollettino n. 7, pag. 31 (v. anche www.garanteprivacy.it: doc. n. 40627)

Ai sensi dell’art. 19 della legge n. 675/1996, gli “incaricati del trattamento”, previamente
individuati per iscritto e che operano sotto la “diretta autorità” del titolare o del responsabile,
attuandone le istruzioni, non possono essere considerati quali “terzi” ai fini dell’applicazione
delle disposizioni sulla protezione dei dati personali, sia che operino all’interno dell’ordinaria
struttura del titolare, sia che coadiuvino il titolare stesso operando presso un centro esterno.
• Garante 8 giugno 1999, in Bollettino n. 9, pag. 58 (v. anche www.garanteprivacy.it: doc. n. 42260)

64 Massimario 1997/2001 • Presupposti e modalità del trattamento


Possono essere designati quali “incaricati del trattamento” solo ed esclusivamente le per-
sone fisiche e non anche le entità personificate che, invece, ai sensi dell’art. 1, comma 2, lett. e)
della legge n. 675/1996, possono rivestire la qualità di “responsabile del trattamento” (con tale
parere il Garante ha evidenziato la possibilità di nominare quale responsabile del trattamento, e
non quale incaricata, una società esterna fornitrice dei servizi concernenti la stampa e l’elabora-
zione dei cedolini di stipendio dei dipendenti del titolare).
• Garante 8 giugno 1999, in Bollettino n. 9, pag. 58 (v. anche www.garanteprivacy.it: doc. n. 42260)

La società titolare del trattamento, cui l’interessato, in sede di esercizio dei diritti di cui
all’art. 13 della legge n. 675/1996, abbia richiesto di conoscere gli estremi identificativi del
responsabile, non può limitarsi ad indicare la carica ricoperta da questo soggetto – nella specie,
l’amministratore delegato pro tempore –, ma deve precisare gli elementi atti ad individuare la
persona fisica o l’organismo che riveste tale ruolo (generalità, residenza o sede).
• Garante 9 dicembre 1999, in Bollettino n. 10, pag. 48 (v. anche www.garanteprivacy.it: doc. n. 42300)

In assenza di una formale designazione come incaricati del trattamento, i dipendenti delle
pubbliche amministrazioni che, per lo svolgimento dei propri compiti, vengono a conoscenza di
dati personali, devono essere considerati come soggetti terzi rispetto alle amministrazioni
stesse, con conseguenti rilevanti limiti per la comunicazione e l’utilizzazione dei dati e quindi per
la liceità del trattamento. Tale designazione è, infatti, indispensabile, in quanto permette di con-
siderare legittimo il flusso delle informazioni personali nell’ambito degli uffici e tra i dipendenti
dell’amministrazione titolare del trattamento (v. art. 19 della legge n. 675/1996).
• Garante 23 maggio 2000, in Bollettino n. 13, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40229)

Casi particolari

Associazioni professionali

Allorché sussista un’associazione professionale tra medici, i singoli associati possono


regolare in modo vario i rispettivi rapporti in relazione al trattamento dei dati personali dei
pazienti. In particolare, oltre all’ipotesi della gestione individuale e separata dei dati (in cui cia-
scun professionista assume in proprio la qualità di “titolare” del trattamento) ed a quella della
contitolarità del trattamento da parte di tutti o di alcuni soltanto dei professionisti (che deter-
mina la condivisione, a titolo personale, delle prerogative e delle responsabilità del “titolare”),
è conforme ai principi di cui all’art. 1, comma 1 della legge n. 675/1996 anche la preordinazione
di un’unica attività di elaborazione dei dati personali, effettuata dagli associati nell’ambito di
un’associazione o di un “organismo” che, a prescindere dai limiti posti dalla legge n. 1815/1939

TITOLARE, RESPONSABILE, INCARICATO > CASI PARTICOLARI > 65


ASSOCIAZIONI PROFESSIONALI
in materia di prestazione associata di assistenza e consulenza, assuma di per sé la qualità di
“titolare” del trattamento.
• Garante 30 giugno 1997, in Bollettino n. 1, pag. 33 (v. anche www.garanteprivacy.it: doc. n. 39320)

Attività giornalistica
• V.: PRIVATI ED ENTI PUBBLICI ECONOMICI > SETTORI DI ATTIVITÀ > ATTIVITÀ GIORNALISTICA (P. 81)

Il giornalista che, operando in una condizione di completa autonomia dall’editore ed al di


fuori di quelle particolari modalità di lavoro previste dal contratto collettivo con riferimento alla
struttura editoriale, crei una distinta base di dati destinati alla diffusione, assume in prima per-
sona la veste di titolare del trattamento, ed è tenuto ad effettuare una notificazione una tantum
al Garante
• Garante 24 marzo 1998, in Bollettino n. 4, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 41822)

Poiché la disposizione sulla notificazione in forma semplificata da parte dei giornalisti,


dei pubblicisti e dei praticanti pone l’accento soprattutto sul piano funzionale anziché su
quello soggettivo, ai fini dell’individuazione della figura del titolare in ambito giornalistico, cui
spettano le decisioni di fondo sulle finalità e sulle modalità del trattamento, è necessario
appurare se le scelte di ordine generale sulle complessive modalità dei trattamenti competano
ai singoli giornalisti ovvero all’editore. All’esito di un’analisi del modo d’esplicazione dell’at-
tività giornalistica e del rapporto giornalisti-editori, deve ritenersi corretto identificare nell’e-
ditore il titolare del complesso dei dati che ruota attorno all’impresa editoriale e che, pertanto,
è tenuto ad effettuare la notificazione semplificata, senza che a ciò possa ritenersi di ostacolo
la prassi adottata nel settore per effetto del contratto di lavoro giornalistico concluso tra la
Federazione italiana editori giornali (F.i.e.g.) e la Federazione nazionale della stampa italiana
(F.n.s.i.), che ribadisce soltanto alcuni principi a garanzia della sfera soggettivo-professionale
del giornalista.
• Garante 24 marzo 1998, in Bollettino n. 4, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 41822)

L’istanza formulata ai sensi dell’art. 13 della legge n. 675/1996 può essere proposta, oltre
che al direttore responsabile della testata giornalistica, nella qualità di responsabile del tratta-
mento dei dati personali, anche al titolare del trattamento per il tramite di una articolazione cen-
trale o periferica della struttura che fa capo a quest’ultimo (nella specie, una redazione perife-
rica del quotidiano). L’istanza, infatti, deve presumersi conosciuta dal titolare ove giunga in un
luogo che rientra nella sua sfera di dominio e controllo.
• Garante 25 ottobre 2001, in Bollettino n. 23, pag. 19 (v. anche www.garanteprivacy.it: doc. n. 40739)

66 Massimario 1997/2001 • Presupposti e modalità del trattamento


Autore della pubblicazione

I manifesti murali destinati alla pubblica affissione rientrano nella definizione di “stampa”
o di “stampato” che, ai sensi dell’art. 1 della legge 8 febbraio 1948, n. 47, riguarda “tutte le ripro-
duzioni tipografiche o comunque ottenute con mezzi meccanici o fisico/chimici in qualsiasi modo
destinate alla pubblicazione”. In questo ambito, il tipografo tratta i dati personali riportati sui
manifesti in una veste (e funzione) meramente strumentale rispetto all’autore della pubblica-
zione, unico soggetto realmente legittimato ad intervenire sul contenuto di essa, ad assumere
decisioni sull’esattezza e sulla completezza dei dati in essa riportati, nonché a rendere noti tali
elementi a coloro ai quali i dati siano stati diffusi. Ne consegue che è soltanto nei confronti del-
l’autore della pubblicazione, quale effettivo titolare del trattamento, che può essere rivolta la
richiesta diretta a rettificare i dati o a prevenirne l’ulteriore diffusione.
• Garante 29 marzo 1999, in Bollettino n. 8, pag. 46 (v. anche www.garanteprivacy.it: doc. n. 30879)

Aziende farmaceutiche

Al fine di individuare i limiti all’accesso da parte delle aziende farmaceutiche, che sponso-
rizzano la sperimentazione dei farmaci, alle cartelle cliniche dei pazienti interessati, è essenziale
verificare quale rapporto intercorre tra l’azienda ospedaliera presso cui si svolge la sperimenta-
zione e l’azienda farmaceutica stessa. Ove, infatti, quest’ultima svolga unicamente il ruolo di col-
laboratore “esterno” del trattamento dei dati, le cui scelte di fondo – e le relative responsabilità
– competono all’azienda ospedaliera, quest’ultima costituisce l’esclusivo titolare del tratta-
mento, che ha la facoltà di designare l’azienda sponsor quale “responsabile del trattamento”.
L’azienda farmaceutica assume, invece, la veste di autonomo titolare o contitolare del tratta-
mento, ove ne individui le finalità e le modalità di svolgimento in condizioni di autonomia
rispetto alla struttura ospedaliera.
• Garante 18 maggio 2000, in Bollettino n. 13, pag. 32 (v. anche www.garanteprivacy.it: doc. n. 30935)

Comuni e province

Nell’ipotesi in cui un comune, ai fini dell’accertamento e della liquidazione dei tributi


locali, ritenga di instaurare un rapporto di consulenza con un consorzio privato in cui favore, per
il corretto espletamento dell’incarico, debbano essere posti a disposizione numerosi archivi car-
tacei ed informatici detenuti dall’autorità comunale, detta relazione può essere utilmente inqua-
drata come rapporto tra titolare e responsabile del trattamento; la designazione, ai sensi del-
l’art. 8 della legge n. 675/1996, deve avvenire con atto scritto, nel rispetto dei requisiti di espe-
rienza, capacità ed affidabilità, e deve essere accompagnata da precise istruzioni da parte del
titolare, finalizzate al miglior svolgimento dei compiti affidati al responsabile, che, nell’esercizio
di tali incombenze, è autorizzato ad accedere ai soli dati concretamente pertinenti ed indispen-

TITOLARE, RESPONSABILE, INCARICATO > CASI PARTICOLARI > 67


AUTORE DELLA PUBBLICAZIONE
sabili. Ove detta nomina non venga effettuata, il consorzio viene a porsi come autonomo “tito-
lare” del trattamento, con conseguente applicazione della disciplina prevista dall’art. 27,
comma 3 della legge n. 675/1996 in tema di comunicazione dei dati da un soggetto pubblico ad
un soggetto privato.
• Garante 29 maggio 1998, in Bollettino n. 4, pag. 64 (v. anche www.garanteprivacy.it: doc. n. 39176)

Allorché l’attività di controllo sulla manutenzione e l’esercizio degli impianti termici, ai sensi
dell’art. 19 del d.P.R. n. 412/1993, venga espletata dalla provincia, sulla base della preventiva sti-
pula di una convenzione, mediante la preposizione di soggetti terzi, si rende necessaria una for-
male designazione del responsabile e degli incaricati del trattamento (artt. 8 e 19 della legge
n. 675/1996); in tal caso, relativamente al rapporto provincia – soggetto preposto al controllo, la
comunicazione al Garante di cui all’art. 27, comma 2 della legge n. 675/1996 diviene superflua. Al
contrario, detta comunicazione, del tutto distinta dalla notificazione ex art. 7 della legge, dev’es-
sere effettuata nel caso in cui non sussista alcuna norma di legge o di regolamento che preveda
l’acquisizione, da parte della provincia, dei dati detenuti da altra amministrazione pubblica.
• Garante 14 gennaio 1999, in Bollettino n. 7, pag. 53 (v. anche www.garanteprivacy.it: doc. n. 42118)

Concessionari di pubblici servizi


• V.: SOGGETTI PUBBLICI > SETTORI DI ATTIVITÀ > CONCESSIONARI DI PUBBLICI SERVIZI (P. 121)

Qualora l’amministrazione intenda conservare una posizione “primaria” in ordine alle


scelte sul trattamento dei dati demandato al concessionario di un pubblico servizio, è necessa-
rio precisare chi dovrà svolgere in concreto l’eventuale ruolo di “responsabile del trattamento”.
Di conseguenza, l’amministrazione concedente deve decidere se prevedere tale figura ed attri-
buirne la responsabilità, a seconda dei casi, alla struttura esterna cui è affidata l’attività in con-
cessione, ad un dipendente di quest’ultima oppure ad un proprio ufficio o dipendente.
• Garante 9 giugno 1998, in Bollettino n. 5, pag. 22 (v. anche www.garanteprivacy.it: doc. n. 40365)

Il concessionario di un pubblico servizio che, in virtù delle clausole della convenzione che
lo lega all’amministrazione, e per la natura stessa del compito che gli viene affidato, non assuma
un ruolo effettivamente autonomo rispetto all’amministrazione o non acquisisca particolari
poteri sulle operazioni conferitegli, ma agisca in funzione servente rispetto alle attribuzioni del-
l’amministrazione, può rivestire la qualità di responsabile del trattamento dei dati di cui viene in
possesso a causa della sua attività, rimanendo all’amministrazione la titolarità di tale tratta-
mento. Il concessionario può espletare i compiti affidatigli solo in riferimento a finalità e a dati
strettamente collegati all’esecuzione della convenzione, secondo modalità coerenti con tale
scopo e con il limite del divieto di divulgazione dei dati fuori dei casi espressamente previsti.
• Garante 15 ottobre 1998, in Bollettino n. 6, pag. 59 (v. anche www.garanteprivacy.it: doc. n. 30859)

68 Massimario 1997/2001 • Presupposti e modalità del trattamento


Non può essere considerato titolare del trattamento – e, come tale, non può essere destinatario
di una richiesta ai sensi dell’art. 13 della legge n. 675/1996 – il concessionario di un servizio di
pubbliche affissioni che, ai sensi del d.lg. 15 novembre 1993, n. 507 (come modificato dal d.lg. 15
dicembre 1997, n. 446), è tenuto soltanto a svolgere il servizio in favore del richiedente, senza
essere obbligato ad esercitare alcun controllo sulla completezza ed esattezza dei dati riportati
sui manifesti da affiggere.
• Garante 29 marzo 1999, in Bollettino n. 8, pag. 46 (v. anche www.garanteprivacy.it: doc. n. 30879)

Nello svolgimento dei propri compiti istituzionali, ciascun soggetto pubblico può ricorrere
a privati cui affidare determinate attività in concessione. In tale ipotesi, l’amministrazione deve
precisare il ruolo assunto dai concessionari i quali, ai sensi della legge n. 675/1996, possono
essere considerati, alternativamente, come collaboratori esterni del soggetto pubblico, qualora
coadiuvino l’amministrazione trattando dati personali anche al di fuori della relativa struttura,
ma nell’ambito di un’attività che ricade nella sfera di titolarità e di responsabilità dell’ammini-
strazione stessa, oppure come figure soggettive del tutto distinte dall’amministrazione, che
decidono autonomamente in ordine al trattamento delle informazioni e si assumono ogni rela-
tiva responsabilità. Nel primo caso, i concessionari costituiscono parte sostanziale della strut-
tura pubblica – e agli stessi è quindi applicabile il particolare regime previsto per la pubblica
amministrazione –, mentre, nel secondo, sono privati che devono operare in base alle regole det-
tate dalla legge per i soggetti privati e gli enti pubblici economici (principi affermati nell’ambito
del parere reso all’Amministrazione finanziaria sullo schema di decreto ministeriale – previsto
dall’art. 18 del d.lg. n 112/1999 – attinente all’esercizio della facoltà di accesso agli uffici pubblici
da parte dei concessionari della riscossione).
• Garante 16 giugno 1999, in Bollettino n. 9, pag. 19 (v. anche www.garanteprivacy.it: doc. n. 42312)

Condominio negli edifici

Per quanto riguarda la normativa sulla protezione dei dati personali, i condòmini devono
essere considerati contitolari di un medesimo trattamento dei dati di cui l’amministratore ha la
concreta gestione; tale contitolarità rende lecita per ciascun condomino la conoscenza dei dati
raccolti ed utilizzati correntemente presso il condominio per le finalità riconducibili alla disci-
plina dettata dagli artt. 1117 e ss. del c.c..
• Garante 19 maggio 2000, in Bollettino n. 13, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 42268)

Ministeri

Il riferimento alla “persona fisica“, che compare nella definizione del “titolare” contenuta
nell’art. 1 legge n. 675/1996, alla luce del tenore letterale della disposizione, non riguarda coloro

TITOLARE, RESPONSABILE, INCARICATO > CASI PARTICOLARI > 69


CONDOMINIO NEGLI EDIFICI
che amministrano o rappresentano la persona giuridica o la pubblica amministrazione, bensì gli
individui che effettuano un trattamento di dati a titolo personale (es.: un libero professionista) e
che assumono individualmente la piena responsabilità di un’attività che va distinta nettamente
da quella che singole persone fisiche possono coordinare nell’ambito e nell’interesse di una per-
sona giuridica. In quest’ultimo caso, titolare deve essere quindi considerata l’entità nel suo com-
plesso (es.: la società, il ministero, ecc.), quale soggetto cui competono le scelte di fondo in
ordine alla raccolta ed alla utilizzazione dei dati, e non taluna delle persone fisiche che operano
nella relativa struttura e che concorrono ad esprimerne la volontà; tali soggetti possono semmai,
ricorrendone le condizioni, assumere la qualifica di “responsabile” (art. 8 della legge
n. 675/1996). Ciò, peraltro, non esclude che possano essere considerate “titolari” – o contitolari
– dei trattamenti complesse unità organizzative (quali direzioni generali o aree), interne alla
complessiva struttura, ove queste esercitino un potere decisionale reale e del tutto autonomo
sulle finalità e sulle modalità dei trattamenti effettuati nel proprio ambito.
• Garante 9 dicembre 1997, in Bollettino n. 2, pag. 46 (v. anche www.garanteprivacy.it: doc. n. 39785)

Particolari articolazioni centrali o periferiche di un Ministero possono essere considerate


come distinti ed autonomi titolari del trattamento, diversi dal Ministero come complessiva entità,
soltanto nel caso in cui esse esercitino un potere realmente autonomo su particolari sfere di trat-
tamenti, non condizionato dalle complessive scelte che interessano l’amministrazione nel suo
complesso pur nella specificità dei compiti rimessi ad ogni amministrazione.
• Garante 10 giugno 1998, in Bollettino n. 5, pag. 36 (v. anche www.garanteprivacy.it: doc. n. 41794)

Qualora il trattamento dei dati personali sia effettuato nell’ambito di un Ministero, è l’en-
tità nel suo complesso che assume la veste di “titolare” ex art. 1, comma 2, lett. d) della legge
n. 675/1996, e non taluna delle persone fisiche che operano nella struttura e che sono legitti-
mate ad esprimere la volontà dell’ente.
• Garante 10 giugno 1998, in Bollettino n. 5, pag. 36 (v. anche www.garanteprivacy.it: doc. n. 41794)

R.a.i.

Quale responsabile del trattamento, la R.a.i. collabora con l’amministrazione delle Finanze,
titolare del trattamento, nello svolgimento dei compiti relativi alla gestione e alla riscossione dei
canoni. La società non può, quindi, essere considerata come un soggetto privato che persegue
ulteriori finalità e che può decidere autonomamente in ordine al trattamento delle informazioni
personali, dovendo la stessa attenersi rigorosamente alle prescrizioni normative e alle istruzioni
impartite dall’amministrazione finanziaria. Limitatamente a questi rapporti, alla società deve,
quindi, ritenersi applicabile il particolare regime previsto per le amministrazioni pubbliche che, a
differenza dei privati – i quali, ai sensi degli artt. 12 e 20 della legge n. 675/1996, possono trattare
informazioni personali in presenza del consenso degli interessati o di uno degli altri presupposti

70 Massimario 1997/2001 • Presupposti e modalità del trattamento


equipollenti –, possono effettuare solo i trattamenti connessi all’esercizio delle proprie funzioni
istituzionali, nei limiti stabiliti dalle previsioni di legge o di regolamento (art. 27 della legge).
• Garante 12 luglio 2000, in Bollettino n. 13, pag. 38 (v. anche www.garanteprivacy.it: doc. n. 30923)

Servizi informatici di postalizzazione

I soggetti privati che gestiscono per conto dell’I.n.p.s. servizi informatici di postalizzazione
(es.: il servizio Postel) per il trattamento di dati personali finalizzato alla liquidazione degli asse-
gni per il nucleo familiare e di maternità, debbono essere designati dall’Istituto titolare come
responsabili del trattamento ai sensi dell’art. 8 della legge n. 675/1996, in quanto viene loro affi-
data l’esecuzione, sia pure con un certo grado di autonomia, solo di una parte strumentale delle
operazioni di trattamento necessarie per perseguire le finalità del titolare.
• Garante 2 giugno 1999, in Bollettino n. 9, pag. 11 (v. anche www.garanteprivacy.it: doc. n. 39857)

Servizi di posta elettronica ibrida epistolare


• V.: TELECOMUNICAZIONI E RETI TELEMATICHE > CASI PARTICOLARI > SERVIZI DI POSTA ELETTRONICA
IBRIDA EPISTOLARE (P.
193)

Titolare di trattamento correlato ed autonomo

La Siteba - Sistemi telematici bancari s.p.a. svolge un’attività di supporto tecnico in favore
degli istituti bancari e degli enti emittenti carte di credito che attivano terminali presso gli eser-
cizi commerciali al dettaglio (di regola, di tipo E.F.T./P.O.S. stand-alone) o della c.d. grande dis-
tribuzione (di solito concentrati su server); tale servizio, che è reso presso i punti vendita, è fina-
lizzato all’accettazione delle carte di pagamento da parte dei terminali E.F.T./P.O.S. e si esplica
nell’approntamento, in favore delle banche e degli istituti emittenti, di servizi di installazione,
manutenzione e gestione dei terminali, nonché di ulteriori attività propedeutiche o complemen-
tari (quali, ad esempio, le richieste di codici identificativi degli esercenti o di attivazione dei ter-
minali con le banche acquirers delle carte di credito; i rapporti con i fornitori di rete di teleco-
municazione per l’eventuale concessione di terminazioni speciali). Poiché detta complessiva
attività è strumentale all’ulteriore rapporto tra esercenti il commercio e banche/enti emittenti
deve ritenersi che le scelte di fondo sulle finalità e sulle modalità del trattamento spettino a que-
sti ultimi (che rivestono la qualità di titolari del complessivo trattamento dei dati), sicché, avuto
riguardo alle concrete modalità di gestione del rapporto, è logico interpretare il ruolo della
Siteba come quello di una società titolare di un trattamento correlato ed autonomo, limitata-
mente al centro di assistenza telefonica, esterna alla banca committente del servizio di installa-
zione. Ne consegue l’opportunità che la banca committente, in sede di informativa agli eser-

TITOLARE, RESPONSABILE, INCARICATO > CASI PARTICOLARI > 71


SERVIZI INFORMATICI DI POSTALIZZAZIONE
centi, indichi anche la Siteba tra i soggetti utilizzati per gli adempimenti contrattuali connessi al
servizio di pagamento remoto.
• Garante 23 marzo 1998, in Bollettino n. 4, pag. 60 (v. anche www.garanteprivacy.it: doc. n. 40999)

Ufficio per la mediazione penale di Milano

In relazione all’attività di sua pertinenza, l’Ufficio per la mediazione penale di Milano è


stato nominato titolare del trattamento dei relativi dati dal Ministero della giustizia - Ufficio cen-
trale per la giustizia minorile che, con provvedimento del 13 agosto 1998, ha altresì designato il
direttore del Centro per la giustizia minorile di Milano quale responsabile del trattamento nel
relativo ambito territoriale di competenza, anche per ciò che riguarda i trattamenti gestiti in col-
laborazione con amministrazioni locali.
• Garante 17 febbraio 2000, in Bollettino n. 11/12, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 40675)

Notificazione

Profili generali
Il giornalista che, operando in una condizione di completa autonomia dall’editore ed al di
fuori di quelle particolari modalità di lavoro previste dal contratto collettivo con riferimento alla
struttura editoriale, crei una distinta base di dati destinati alla diffusione, assume in prima per-
sona la veste di titolare del trattamento, ed è tenuto ad effettuare una notificazione una tantum
al Garante.
• Garante 24 marzo 1998, in Bollettino n. 4, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 41822)

La notificazione costituisce una dichiarazione generale che non si riferisce a singoli archivi,
computer o schedari, ma attiene al complesso dell’attività di raccolta, di elaborazione e di diffu-
sione delle informazioni, ed è dovuta “una sola volta”, a prescindere dal numero delle operazioni
da svolgere e dalla durata del trattamento. Pertanto, potendo riguardare più trattamenti aventi fina-
lità correlate tra loro, la notificazione in ambito giornalistico può senz’altro comprendere l’insieme
delle basi di dati che ruotano attorno all’impresa editoriale e ai relativi collaboratori, e può quindi
riassumere in una sola dichiarazione sia i trattamenti di dati finalizzati direttamente allo scopo gior-
nalistico, sia quelli che l’impresa gestisce per finalità amministrative (es.: dati relativi al personale
dipendente, all’attività contabile e contrattuale) o commerciali (es.: archivio clienti, marketing).
• Garante 24 marzo 1998, in Bollettino n. 4, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 41822)

72 Massimario 1997/2001 • Presupposti e modalità del trattamento


Qualora l’amministrazione si limiti a sopprimere, in tutto o in parte, un singolo archivio,
ovvero elimini taluni dati (o categorie di dati) e, tuttavia, prosegua la complessiva attività di trat-
tamento di dati personali, non è necessario procedere ad alcuna notifica al Garante, non verten-
dosi in tema di vera e propria “cessazione” di trattamento.
• Garante 13 maggio 1998, in Bollettino n. 4, pag. 20 (v. anche www.garanteprivacy.it: doc. n. 39288)
• Garante 14 maggio 1998, in Bollettino n. 4, pag. 18 (v. anche www.garanteprivacy.it: doc. n. 40053)

Le ipotesi di cessazione del trattamento dei dati personali previste dall’art. 16 della legge
n. 675/1996 riguardano solamente i casi in cui il titolare intenda interrompere in via definitiva
l’intero complesso di operazioni concernenti un determinato trattamento. Non ricorrono tali fat-
tispecie ove venga soppresso solo un singolo archivio o una sua parte, ovvero vengano eliminati
alcuni dati e tuttavia prosegua la complessiva attività di trattamento; in tali casi, pertanto, non
si rende necessario procedere ad alcuna notifica al Garante.
• Garante 3 settembre 1998, in Bollettino n. 6, pag. 24 (v. anche www.garanteprivacy.it: doc. n. 41007)

In forma semplificata

Poiché la disposizione sulla notificazione in forma semplificata da parte dei giornalisti, dei
pubblicisti e dei praticanti pone l’accento soprattutto sul piano funzionale anziché su quello sog-
gettivo, ai fini dell’individuazione della figura del titolare in ambito giornalistico, cui spettano le
decisioni di fondo sulle finalità e sulle modalità del trattamento, è necessario appurare se le
scelte di ordine generale sulle complessive modalità dei trattamenti competano ai singoli gior-
nalisti ovvero all’editore. All’esito di un’analisi del modo d’esplicazione dell’attività giornalistica
e del rapporto giornalisti-editori, deve ritenersi corretto identificare nell’editore il titolare del
complesso dei dati che ruota attorno all’impresa editoriale e che, pertanto, è tenuto ad effettuare
la notificazione semplificata, senza che a ciò possa ritenersi di ostacolo la prassi adottata nel
settore per effetto del contratto di lavoro giornalistico concluso tra la Federazione italiana editori
giornali (F.i.e.g.) e la Federazione nazionale della stampa italiana (F.n.s.i.), che ribadisce soltanto
alcuni principi a garanzia della sfera soggettivo-professionale del giornalista.
• Garante 24 marzo 1998, in Bollettino n. 4, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 41822)

La notificazione in forma semplificata che, in ambito giornalistico spetta all’editore, può


essere effettuata con un unico atto (e una tantum) ed ha ad oggetto l’insieme delle banche dati
automatizzate e cartacee di cui l’editore è titolare e che sono utilizzate a scopi giornalistici,
anche quando – come accade di regola – le informazioni sono frammentate in più archivi, com-
puter o fascicoli posti in uno o più luoghi nella materiale disponibilità dei singoli giornalisti
• Garante 24 marzo 1998, in Bollettino n. 4, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 41822)

NOTIFICAZIONE > IN FORMA SEMPLIFICATA 73


La notificazione del trattamento di dati sulla salute da parte di un’azienda ospedaliera
dev’essere effettuata in forma semplificata, anche a prescindere dal mancato richiamo, da parte
dell’art. 7, comma 5 bis, lett. a) della legge n. 675/1996, dell’art. 23 della stessa legge.
• Garante 22 maggio 1998, in Bollettino n. 4, pag. 54 (v. anche www.garanteprivacy.it: doc. n. 41937)

Ai fini del trattamento dei dati sensibili e di carattere giudiziario, i soggetti pubblici devono
procedere alla notificazione una tantum in forma semplificata ex art. 7, comma 5 bis della legge
n. 675/1996, ad eccezione dei trattamenti finalizzati all’adempimento di specifici obblighi con-
tabili, retributivi, previdenziali, assistenziali e fiscali, per i quali, invece, vale l’esonero stabilito
dal comma 5 ter, lett. e) dello stesso articolo. Ove dovuta, la notificazione dev’essere redatta
secondo il modello approvato dal Garante.
• Garante 14 maggio 1999, in Bollettino n. 8, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 38977)

Esonero
Imprenditori artigiani

L’ipotesi di esonero dall’obbligo di notifica del trattamento dei dati prevista dall’art. 7,
comma 5 ter, lett. g) della legge n. 675/1996 si applica anche agli imprenditori artigiani, che rien-
trano nel novero dei soggetti indicati dall’art. 2083 c.c..
• Garante 12 marzo 1998, in Bollettino n. 4, pag. 56 (v. anche www.garanteprivacy.it: doc. n. 39865)

I.n.p.g.i.

L’I.n.p.g.i., avendo natura di fondazione senza scopo di lucro, può avvalersi del dispo-
sto di cui all’art. 7, comma 5 ter, lettera l) della legge n. 675/1996 (così come modificato dal
d.lg. n. 255/1997), con conseguente esonero dall’obbligo di notificazione per i trattamenti
dei dati relativi agli iscritti, al personale dipendente (cui è applicabile anche la previsione
contenuta alla lett. e) del medesimo articolo) ed ai soggetti che, sempre per le finalità per-
seguite dall’Istituto, intrattengano rapporti regolari con esso.
• Garante 13 maggio 1998, in Bollettino n. 4, pag. 45 (v. anche www.garanteprivacy.it: doc. n. 40807)

Notai e Consigli notarili

I Consigli distrettuali notarili possono avvalersi dell’esenzione dall’obbligo di notifica

74 Massimario 1997/2001 • Presupposti e modalità del trattamento


dei trattamenti dei dati prevista dall’art. 7, comma 5 ter, lett. f ) della legge n. 675/1996, pur-
ché essi siano finalizzati alla tenuta del “ruolo” professionale in conformità alle leggi ed ai
regolamenti.
• Garante 30 marzo 1998, in Bollettino n. 4, pag. 57 (v. anche www.garanteprivacy.it: doc. n. 39009)

I notai, quali liberi professionisti iscritti in appositi ruoli, possono avvalersi dell’esenzione
dall’obbligo di notifica del trattamento dei dati prevista dall’art. 7, comma 5 ter, lett. f ) della
legge n. 675/1996, purché esso sia effettuato per le sole finalità strettamente collegate all’a-
dempimento di specifiche prestazioni professionali e fermo restando l’obbligo del segreto pro-
fessionale.
• Garante 30 marzo 1998, in Bollettino n. 4, pag. 57 (v. anche www.garanteprivacy.it: doc. n. 39009)

Obblighi contabili, retributivi, previdenziali, assistenziali e fiscali

Ove un partito politico utilizzi i dati dei dipendenti e degli associati in conformità dell’art. 7,
comma 5 ter, lettere e) ed l) della legge n. 675/1996 (rispettivamente per l’adempimento di spe-
cifici obblighi contabili, retributivi, previdenziali, assistenziali e fiscali, ovvero per il persegui-
mento delle finalità associative), il trattamento non è soggetto a notificazione.
• Garante 30 marzo 1998, in Bollettino n. 4, pag. 12 (v. anche www.garanteprivacy.it: doc. n. 39760)

Ai fini del trattamento dei dati sensibili e di carattere giudiziario, i soggetti pubblici devono
procedere alla notificazione una tantum in forma semplificata ex art. 7, comma 5 bis della legge
n. 675/1996, ad eccezione dei trattamenti finalizzati all’adempimento di specifici obblighi con-
tabili, retributivi, previdenziali, assistenziali e fiscali, per i quali, invece, vale l’esonero stabilito
dal comma 5 ter, lett. e) dello stesso articolo. Ove dovuta, la notificazione dev’essere redatta
secondo il modello approvato dal Garante.
• Garante 14 maggio 1999, in Bollettino n. 8, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 38977)

Piccole e medie imprese industriali

Le piccole e medie imprese industriali, che non rientrano nella nozione di piccolo impren-
ditore, non possono avvalersi dell’esenzione dall’obbligo di notifica del trattamento dei dati
prevista dall’art. 7, comma 5 ter, lett. g) della legge n. 675/1996, che è consentita soltanto ai
soggetti individuati dall’art. 2083 c.c.; ciò, comunque, non preclude a dette imprese la possi-
bilità di avvalersi delle ulteriori ipotesi di esonero previste dall’art. 7 comma 5 ter della legge
n. 675/1996, purché ne ricorrano in concreto i presupposti.
• Garante 12 marzo 1998, in Bollettino n. 4, pag. 55 (v. anche www.garanteprivacy.it: doc. n. 39228)

NOTIFICAZIONE > ESONERO > 75


PICCOLE E MEDIE IMPRESE INDUSTRIALI
Pubblicazioni occasionali
• V.: PRIVATI ED ENTI PUBBLICI ECONOMICI > SETTORI DI ATTIVITÀ > ATTIVITÀ GIORNALISTICA >
PUBBLICAZIONI OCCASIONALI (P. 84)

Misure per la sicurezza dei dati e dei sistemi

Archivi di reparti ospedalieri

Ai fini della tutela della riservatezza degli ammalati di A.I.D.S., l’accesso agli archivi elet-
tronici di una divisione di malattie infettive o di altri reparti ospedalieri, in cui i nominativi dei
pazienti risultino raccolti e conservati, dev’essere reso possibile soltanto ai dipendenti di detti
reparti e sempreché sussistano reali esigenze di accesso connesse a ragioni di assistenza e cura
dei singoli ammalati.
• Garante 7 gennaio 1999, in Bollettino n. 7, pag. 13 (v. anche www.garanteprivacy.it: doc. n. 38989)

Il d.lg. n. 135/1999, recante disposizioni integrative della legge n. 675/1996, circa il tratta-
mento dei dati sensibili da parte dei soggetti pubblici prevede che gli organismi sanitari che trat-
tano dati idonei a rivelare lo stato di salute rispettino i principi di correttezza e di pertinenza san-
citi dall’art. 9 della legge n. 675/1996, adottando specifiche cautele a tutela della riservatezza
degli interessati; tra queste, particolarmente significativa è quella secondo cui i dati anagrafici
devono essere conservati separatamente da quelli sanitari che, se contenuti in elenchi, registri
o banche dati, ai sensi dell’art. 3, commi 4 e 5, d.lg. n. 135/1999 devono essere trattati con tec-
niche di cifratura, mediante l’utilizzazione di codici identificativi o di altri sistemi che permettano
di risalire agli interessati solo in caso di necessità.
• Garante 16 febbraio 2000, in Bollettino n. 11/12, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 30907)

Banche dati centralizzate

La creazione di una banca dati centralizzata che interessa la generalità dei cittadini,
quale quella concernente l’istituzione dell’anagrafe dei rapporti di conto e di deposito di cui
all’art. 20, comma 4 della legge n. 413/1991, presuppone un’attenta regolamentazione che
deve andare oltre l’assetto della sicurezza e dell’integrità dei dati e che deve riguardare le
finalità perseguite, i flussi di dati, l’utilizzazione ulteriore delle informazioni e l’individuazione
di compiti e responsabilità.
• Garante 17 novembre 1999, in Bollettino n. 10, pag. 22 (v. anche www.garanteprivacy.it: doc. n. 40561)

76 Massimario 1997/2001 • Presupposti e modalità del trattamento


La creazione di una banca dati centralizzata attuativa della disciplina del collocamento ordi-
nario istituito dalla legge n. 59/1997, che interessa la generalità delle persone aventi l’età stabi-
lita per essere ammesse al lavoro e che sono in cerca di lavoro perché inoccupate, disoccupate,
nonché occupate in cerca di altra attività, presuppone un’attenta regolamentazione che vada oltre
l’assetto della sicurezza e dell’integrità dei dati e che deve riguardare le finalità perseguite, l’in-
dividuazione di compiti e responsabilità, i vari flussi di dati e la loro utilizzazione ulteriore.
• Garante 30 novembre 1999, in Bollettino n. 10, pag. 27 (v. anche www.garanteprivacy.it: doc. n. 39640)

Conservazione e lettura di immagini


Risulta legittima, in quanto rientrante nelle finalità istituzionali proprie degli organismi
sanitari pubblici (v. legge n. 833/1978 e successive modifiche ed integrazioni), perché connessa
all’attività di assistenza e cura dei pazienti, l’istallazione, presso i locali di un pronto soccorso
e nel reparto di rianimazione di un’azienda ospedaliera, di apparecchiature di videosorve-
glianza, al fine rispettivamente del controllo della sicurezza dei corridoi e delle sale di attesa e
per consentire il continuo monitoraggio delle condizioni dei pazienti ricoverati. Anche in consi-
derazione del fatto che, nella specie, si verte in tema di trattamento di dati sensibili (art. 22
della legge n. 675/1996), l’istallazione di tale sistema richiede, peraltro, l’osservanza di specifi-
che prescrizioni poste dalla legge n. 675/1996, quali la determinazione della localizzazione delle
telecamere e delle modalità di ripresa (in ottemperanza ai principi di pertinenza e non eccedenza
dei dati rispetto alle finalità perseguite fissati dall’art. 9, comma 1, lett. d)), la definizione dei
soggetti (responsabile, incaricati) legittimati a trattare i dati personali, la individuazione di ido-
nee misure di sicurezza ai sensi dell’art. 15 (al fine di evitare che i dati possano entrare nella dis-
ponibilità di soggetti non autorizzati), la fissazione di precisi parametri concernenti la eventuale
conservazione delle immagini registrate per un periodo di tempo non superiore a quello neces-
sario agli scopi per i quali i dati sono stati raccolti e trattati (art. 9, comma 1, lett. e), la previsione
delle forme e delle modalità di informativa agli interessati (art. 10).
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 139 (v. anche www.garanteprivacy.it: doc. n. 40361)

Ai fini del contenimento della criminalità in particolari ambiti cittadini, possono essere
concluse, tra forze di polizia ed aziende comunali di trasporto pubblico, intese dirette all’intro-
duzione di sistemi di videosorveglianza attraverso l’installazione, in via sperimentale, di tele-
camere su alcune linee di autobus e tram e presso le fermate. A tal fine, prima dell’attivazione
dei sistemi, la localizzazione delle telecamere e le modalità di ripresa andranno fissate in ade-
renza alle finalità che ne hanno suggerito l’installazione, tenendo conto dei principi fissati dal-
l’art. 9 della legge n. 675/1996, con particolare riguardo a quelli di pertinenza e di non ecce-
denza dei dati raccolti rispetto agli scopi perseguiti; inoltre, l’attività di videocontrollo, oggetto
di preventiva informativa agli utenti ex art. 10 della legge n. 675/1996, dovrà permettere di
cogliere in modo solo panoramico l’interno delle vetture o l’ambito delle singole fermate, in
maniera da evitare non solo riprese talmente particolareggiate da risultare intrusive della riser-
vatezza o da consentire la rilevazione di particolari non rilevanti, ma anche da impedire la viola-

MISURE PER LA SICUREZZA DEI DATI E DEI SISTEMI > CONSERVAZIONE E LETTURA DI IMMAGINI 77
zione delle previsioni di cui all’art. 4 della legge n. 300/1970 (in riferimento alle postazioni di
guida degli autisti). Infine, le immagini acquisite, accessibili in chiaro da una “stazione di lettura”
sulla scorta di un sistema di “doppia chiave” congiunta (una in possesso del personale dell’a-
zienda all’uopo preposto, l’altra in possesso dell’autorità di polizia), dovranno essere custodite
– unitamente ai sistemi di lettura – con adeguati sistemi di sicurezza, e potranno essere visionate
soltanto in occasione della commissione di atti criminosi ritualmente denunziati.
• Garante 23 marzo 1999, in Bollettino n. 8, pag. 57 (v. anche www.garanteprivacy.it: doc. n. 40899)

Dati in busta paga


I dati personali contenuti nel cedolino dello stipendio dei lavoratori dipendenti, in quanto
collegati a persone fisiche individuate o individuabili, rientrano nella nozione di “dato perso-
nale” contenuta nell’art. 1 della legge n. 675/1996. Si rende quindi necessario adottare le oppor-
tune misure volte a tutelare la riservatezza degli interessati (es.: piegando e spillando il cedo-
lino, imbustandolo, apponendovi una copertura delle parti più significative, ovvero introducendo
una “distanza di cortesia” agli sportelli), affinché tali dati non siano immediatamente accessibili
a terzi, ma rimangano conoscibili dai soli incaricati del trattamento che li devono necessaria-
mente utilizzare per la gestione del rapporto di lavoro.
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 100 (v. anche www.garanteprivacy.it: doc. n. 39324)

Fondo di solidarietà per le vittime dell’usura


In attuazione delle disposizioni concernenti il Fondo di solidarietà per le vittime delle
richieste estorsive e dell’usura ai sensi dell’art. 21 della legge n. 44/1999, è opportuno adottare
misure organizzative idonee ad assicurare, ove possibile, la conoscibilità delle generalità e degli
altri dati personali dell’interessato solo laddove strettamente necessario e, comunque, da parte
di un numero circoscritto di operatori preposti agli uffici.
• Garante 30 novembre 1999, in Bollettino n. 10, pag. 25 (v. anche www.garanteprivacy.it: doc. n. 38973)

Misure minime
Benché le norme processuali non siano state ancora rivisitate in dettaglio per essere inte-
grate e modificate alla luce dei nuovi principi in materia di trattamento dei dati personali, la
legge n. 675/1996 ha comunque reso immediatamente applicabili all’attività svolta “per ragioni
di giustizia” presso gli uffici giudiziari alcuni obblighi sulle modalità e sulla sicurezza del tratta-
mento, tra cui quelli di correttezza e di pertinenza sanciti dall’art. 9 e quelli sulle misure di sicu-
rezza fissati dal d.P.R. n. 318/1999.
• Garante 21 febbraio 2000, in Bollettino n. 11/12, pag. 9 (v. anche www.garanteprivacy.it: doc. n. 40237)

78 Massimario 1997/2001 • Presupposti e modalità del trattamento


Il d.P.R. n. 318/1999 non contiene tutte le regole tecniche da adottare in qualunque conte-
sto ai fini della sicurezza dei dati personali, ma individua unicamente i soli requisiti minimi il cui
mancato rispetto comporta una maggiore esposizione al rischio del bene giuridico tutelato e alla
cui mancata osservanza è quindi collegata anche una sanzione di carattere penale (v. art. 36
della legge n. 675/1996). La legge n. 675/1996 prescrive, infatti, l’adozione non solo delle misure
minime di cui al citato regolamento, ma anche di quelle di cui all’art. 15, comma 1, della mede-
sima legge, che obbliga a custodire e a controllare i dati sulla base di più ampie ed idonee misure
di protezione, la cui mancata predisposizione è rilevante anche al fine dell’accertamento della
responsabilità civile per gli eventuali danni cagionati (v. art. 18 della legge).
• Garante 29 maggio 2000, in Bollettino n. 13, pag. 30 (v. anche www.garanteprivacy.it: doc. n. 40205)

Non sussiste alcun obbligo di comunicare al Garante le determinazioni raggiunte in attua-


zione del d.P.R. n. 318/1999 in materia di adozione di misura minime di sicurezza per la prote-
zione dei dati personali, se non a seguito di un’eventuale e specifica richiesta da parte
dell’Autorità ai sensi dell’art. 32, comma 1, della legge n. 675/1996.
• Garante 29 maggio 2000, in Bollettino n. 13, pag. 30 (v. anche www.garanteprivacy.it: doc. n. 40205)

Le disposizioni normative riguardanti le informazioni idonee a rivelare l’appartenenza


etnica dei cittadini residenti nel territorio della provincia di Bolzano – c.d. “proporzionale
etnica” – debbono rispettare, anche in occasione del censimento generale della popolazione,
i principi stabiliti dalla legge n. 675/1996 in materia di dati sensibili (art. 22), nonché quelli
posti dal d.lg. n. 135/1999 in tema di trattamento di dati sensibili da parte di soggetti pubblici
e del d.P.R. n. 318/1999 emesso, in attuazione dell’art. 15, comma 2, della legge n. 675/1996,
in materia di misure minime di sicurezza.
• Garante 6 febbraio 2001, in Bollettino n. 17, pag. 11 (v. anche www.garanteprivacy.it: doc. n. 40943)

Questionari R.a.i.
Con riferimento alle comunicazioni inviate dalla R.a.i., ai fini del pagamento del canone,
alle persone che non risultano presenti negli elenchi degli abbonati al servizio radiotelevisivo, la
società, al fine della scrupolosa protezione del diritto alla riservatezza dei destinatari, deve adot-
tare misure idonee ad evitare l’inutile divulgazione di dati personali compiuta attraverso la resti-
tuzione del questionario, contenente anche dati di terzi (familiari o conviventi già abbonati), in
una cartolina leggibile da chiunque, anziché in una busta chiusa o con modalità che, comunque,
non ne rendano possibile una facile ed immediata consultazione da parte di estranei.
• Garante 12 luglio 2000, in Bollettino n. 13, pag. 38 (v. anche www.garanteprivacy.it: doc. n. 30923)

MISURE PER LA SICUREZZA DEI DATI E DEI SISTEMI > QUESTIONARI R.A.I. > 79
Rilevazioni biometriche
• V.: PRIVATI ED ENTI PUBBLICI ECONOMICI > SETTORI DI ATTIVITÀ > BIOMETRIA (P. 92)

Riservatezza nelle operazioni bancarie


• V.: PRIVATI ED ENTI PUBBLICI ECONOMICI > SETTORI DI ATTIVITÀ > ISTITUTI DI CREDITO > CASI PAR-
TICOLARI > RISERVATEZZA NELLE OPERAZIONI BANCARIE (P. 96)

Cessazione del trattamento


Qualora l’amministrazione si limiti a sopprimere, in tutto o in parte, un singolo archivio,
ovvero elimini taluni dati (o categorie di dati) e, tuttavia, prosegua la complessiva attività di trat-
tamento di dati personali, non è necessario procedere ad alcuna notifica al Garante, non verten-
dosi in tema di vera e propria “cessazione di trattamento”.
• Garante 13 maggio 1998, in Bollettino n. 4, pag. 20 (v. anche www.garanteprivacy.it: doc. n. 39288)

Ai sensi dell’art. 16 della legge n. 675/1996, si ha “cessazione del trattamento” quando il


titolare, anche se ente pubblico, intenda, per qualsiasi causa, interrompere in via definitiva l’in-
tero complesso di operazioni concernenti un determinato trattamento di dati personali. Ne con-
segue che l’effettuazione di uno scarto d’archivio non corrisponde, di per sé, ad un’effettiva e
completa cessazione del trattamento di dati connesso alle attività istituzionali dell’amministra-
zione, integrando soltanto una parziale eliminazione, attraverso la distruzione di documenti o
fascicoli, di quelle informazioni personali la cui conservazione sia ormai ritenuta inutile ai fini
amministrativi e storici.

Garante 13 maggio 1998, in Bollettino n. 4, pag. 20 (v. anche www.garanteprivacy.it: doc. n. 39288)
Garante 14 maggio 1998, in Bollettino n. 4, pag. 18 (v. anche www.garanteprivacy.it: doc. n. 40053)

Ai sensi dell’art. 16 della legge n. 675/1996, una società che intenda porre fine ad un tratta-
mento di dati sensibili, con definitiva ed integrale dismissione degli stessi, è tenuta soltanto a
ripetere la notificazione mediante l’impiego dell’apposito modello, senza dover richiedere alcuna
autorizzazione al Garante che, in ogni caso, ha la facoltà di procedere ad opportune verifiche.

Garante 8 giugno 1998, in Bollettino n. 5, pag. 17 (v. anche www.garanteprivacy.it: doc. n. 40001)

80 Massimario 1997/2001 • Presupposti e modalità del trattamento


Privati ed
enti pubblici
economici

• Settori di attività

• Operazioni di trattamento dei dati

• Trattamento per fini personali

• Trasferimento dei dati all’estero


Le ipotesi di cessazione del trattamento dei dati personali previste dall’art. 16 della legge
n. 675/1996 riguardano solamente i casi in cui il titolare intenda interrompere in via definitiva
l’intero complesso di operazioni concernenti un determinato trattamento. Non ricorrono tali fat-
tispecie ove venga soppresso solo un singolo archivio o una sua parte, ovvero vengano eliminati
alcuni dati e tuttavia prosegua la complessiva attività di trattamento; in tali casi, pertanto, non
si rende necessario procedere ad alcuna notifica al Garante.

Garante 3 settembre 1998, in Bollettino n. 6, pag. 24 (v. anche www.garanteprivacy.it: doc. n. 41007)

CESSAZIONE DEL TRATTAMENTO 81


Settori di attività

Attività giornalistica
Profili generali

I dati personali concernenti le classi stipendiali, le indennità e gli altri emolumenti corri-
sposti ad amministratori e lavoratori dipendenti ed autonomi da concessionari di pubblici ser-
vizi sono da ritenersi conoscibili da parte di chiunque vi abbia interesse attraverso la lettura
degli atti parlamentari (es.: risposte fornite a interrogazioni e interpellanze parlamentari), l’e-
same dei contratti collettivi, l’accesso ai documenti amministrativi (legge n. 241/1990) e, in
sede di esercizio del diritto di cronaca, da parte degli esercenti la professione giornalistica.
Rimane ferma la necessità che tali dati siano esatti, completi ed acquisiti correttamente (art. 9
della legge n. 675/1996), e che siano invece mantenuti riservati quelli relativi a circostanze per-
sonali e familiari, o che abbiano natura sensibile (es.: ritenute previdenziali e assistenziali; ces-
sioni di stipendio; deleghe sindacali).
• Garante 16 settembre 1997, in Bollettino n. 2, pag. 16 (v. anche www.garanteprivacy.it: doc. n. 39364)

Il quadro normativo delineato dalla legge n. 675/1996 in tema di diffusione di dati sensibili
nell’esercizio dell’attività di giornalista ha lasciato inalterata l’esigenza del rispetto, soprattutto
in ordine all’essenzialità dell’informazione rispetto a fatti di interesse pubblico, di alcuni limiti
posti al diritto di cronaca a tutela della riservatezza, suscettibili d’integrazione da parte del
codice deontologico di settore, previsto dall’art. 25 della legge.
• Garante 30 marzo 1998, in Bollettino n. 4, pag. 28 (v. anche www.garanteprivacy.it: doc. n. 42220)

Il bilanciamento tra il diritto alla riservatezza e il diritto all’informazione operato dalla


legge n. 675/1996 (v., in particolare, l’art. 25, come modificato dal d.lg. n. 171/1998) non giusti-
fica alcuna deroga a quanto previsto dalle disposizioni dell’art. 9 della legge, secondo le quali il
giornalista, al pari di ogni altro soggetto che utilizzi informazioni contenute anche su supporti
audiovisivi, deve raccoglierle senza violenza o inganno e in un quadro di trasparenza.
• Garante 22 luglio 1998, in Bollettino n. 5, pag. 29 (v. anche www.garanteprivacy.it: doc. n. 39813)

Il principio di correttezza nell’acquisizione delle informazioni (art. 9 della legge n. 675/1996),


che è proprio anche dell’esercizio dell’attività giornalistica, trova applicazione – anche per le fatti-
specie antecedenti all’entrata in vigore del codice di deontologia di settore, pubblicato sulla G.U.
n. 179 del 3 agosto 1998 – nel caso di registrazioni audiovisive accidentali o che non facciano parte
di una prova di trasmissione, e impongono alla rete televisiva che le abbia effettuate di astenersi

SETTORI DI ATTIVITÀ> ATTIVITÀ GIORNALISTICA > 85


PROFILI GENERALI
dal diffonderle o, quanto meno, di darne tempestiva notizia all’interessato, ponendolo nella con-
dizione di esprimere il proprio punto di vista e, se del caso, di opporsi all’ulteriore trattamento
(principi affermati dal Garante in una segnalazione ad una rete televisiva a proposito della diffu-
sione, da parte di una trasmissione a sfondo satirico, di considerazioni espresse da un esponente
politico registrate, a sua insaputa, nei momenti immediatamente precedenti l’inizio di un’intervi-
sta rilasciata ad un telegiornale della stessa rete).
• Garante 22 luglio 1998, in Bollettino n. 5, pag. 29 (v. anche www.garanteprivacy.it: doc. n. 39813)

La richiesta di rettifica formulata nei confronti di un settimanale ai sensi dell’art. 42 della


legge n. 46/1981 è cosa diversa dall’istanza di cui all’art. 13 della legge n. 675/1996; ne conse-
gue che il ricorso ex art. 29, ove non preceduto da una regolare istanza ex art. 13, va dichiarato
inammissibile.
• Garante 7 aprile 1999, in Bollettino n. 8, pag. 40 (v. anche www.garanteprivacy.it: doc. n. 40397)

Il diritto all’identità personale, tutelato dall’art. 1 della legge n. 675/1996, può essere leso
dall’avvenuta pubblicazione su un quotidiano di vari articoli di stampa che, attraverso un erro-
neo riferimento alla persona del ricorrente ed al suo stato coniugale, ovvero mediante un’ine-
satta utilizzazione del suo cognome, gli abbiano attribuito comportamenti posti in essere da
altri, con conseguente distorsione della sua immagine. In tal caso, ai sensi dell’art. 29, comma 4
della legge, non solo dev’essere fatto ordine, sia all’editore che al direttore del quotidiano, di
cessare il trattamento illegittimo, ma, ai fini di un’effettiva tutela dei diritti dell’interessato,
dev’essere ordinata la rettifica dei dati personali trattati, con attestazione, in favore del predetto,
della circostanza che tale rettifica è stata portata a conoscenza di coloro ai quali erano stati ori-
ginariamente diffusi i detti dati, attraverso la pubblicazione, sul medesimo quotidiano, di un
apposito comunicato in tal senso.
• Garante 19 aprile 1999, in Bollettino n. 8, pag. 31 (v. anche www.garanteprivacy.it: doc. n. 39033)

La mera citazione, in un articolo di giornale, delle generalità di alcuni vigili urbani rimasti
vittime di comportamenti lesivi dell’integrità fisica o di atti di resistenza, ovvero coinvolti in pro-
cedimenti amministrativi o giudiziari nei quali si controverta di un’infrazione contestata o, even-
tualmente, imputati per reati riconducibili al servizio prestato, non contrasta con i principi affer-
mati negli artt. 12, 20 e 25 della legge n. 675/1996 e nel codice di deontologia in tema di attività
giornalistica.
• Garante 16 febbraio 2000, in Bollettino n. 11/12, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 42280)

Dalla pronunzia del provvedimento di blocco deriva l’obbligo, per il titolare o per il respon-
sabile, di sospendere ogni ulteriore operazione di trattamento diversa dalla mera conservazione
delle informazioni già raccolte e, in particolare, di astenersi dal diffondere ulteriormente i dati

86 Massimario 1997/2001 • Privati ed enti pubblici economici


anche in modo indiretto; pertanto, ove il blocco sia stato adottato a seguito dell’avvenuta divul-
gazione di alcune informazioni a mezzo di un articolo giornalistico pubblicato su di un quoti-
diano, l’obbligo di astensione dall’ulteriore diffusione dei dati può comportare anche il divieto,
per il quotidiano e la società editrice, di pubblicare il testo del provvedimento cautelare adottato
dal Garante.
• Garante 16 febbraio 2000, in Bollettino n. 11/12, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 42280)

Il trattamento dei dati personali effettuato nell’esercizio dell’attività giornalistica deve svol-
gersi nel rispetto delle previsioni del Codice di deontologia pubblicato sulla G.U. del 29 luglio
1998, che, nel richiamare i fondamentali principi affermati in materia dalla legge n. 675/1996,
detta specifiche regole in tema di essenzialità dell’informazione rispetto ai fatti d’interesse pub-
blico.
• Garante 28 maggio 2001, in Bollettino n. 20, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 40923)

Il giornalista che raccoglie dati personali presso una struttura sanitaria deve fornire una
adeguata informativa agli interessati, che tenga conto delle condizioni psicofisiche dei pazienti
(nella specie, soggetti anoressici) e della loro concreta capacità di esprimere una manifestazione
di volontà realmente consapevole degli effetti derivanti dalla diffusione dei dati e delle immagini
che li riguardano.
• Garante 20 giugno 2001, in Bollettino n. 21, pag. 4 (v. anche www.garanteprivacy.it: doc. n. 39512)

L’istanza formulata ai sensi dell’art. 13 della legge n. 675/1996 può essere proposta, oltre
che al direttore responsabile della testata giornalistica, nella qualità di responsabile del tratta-
mento dei dati personali, anche al titolare del trattamento per il tramite di una articolazione cen-
trale o periferica della struttura che fa capo a quest’ultimo (nella specie, una redazione perife-
rica del quotidiano). L’istanza, infatti, deve presumersi conosciuta dal titolare ove giunga in un
luogo che rientra nella sua sfera di dominio e controllo.
• Garante 25 ottobre 2001, in Bollettino n. 23, pag. 19 (v. anche www.garanteprivacy.it: doc. n. 40739)

Informativa semplificata

Il codice di deontologia relativo al trattamento dei dati personali nell’esercizio dell’attività


giornalistica, in attuazione dell’art. 25, comma 4 della legge n. 675/1996 (come modificato dal d.lg.
n. 123/1997), ha introdotto forme semplificate di informativa applicabili a due distinte situazioni
regolate nei commi 1 e 3 dell’art. 10 della legge n. 675/1996. In particolare, l’art. 2, comma 1 del
codice disciplina l’informativa che il giornalista – per un’esigenza di correttezza nei confronti
delle persone “intervistate” – deve fornire al momento in cui raccoglie dati dalla persona alla

SETTORI DI ATTIVITÀ> ATTIVITÀ GIORNALISTICA > 87


INFORMATIVA SEMPLIFICATA
quale si riferiscono le informazioni; in questo caso, il dovere d’informativa può essere adempiuto
– salvo il caso in cui ciò risulti impossibile o comporti rischi per l’incolumità personale del pro-
fessionista – palesando all’interessato la sola circostanza che si sta esercitando un’attività gior-
nalistica, nonché le finalità della raccolta, senza che occorra specificare gli altri elementi indicati
nell’art. 10, comma 1 della legge n. 675/1996. Al contrario, il secondo comma dell’art. 2 del
codice disciplina il caso in cui il giornalista raccolga informazioni riguardanti l’interessato presso
terzi oppure si avvalga delle varie fonti informative disponibili; soltanto in relazione a queste
ultime ipotesi – impregiudicata l’esigenza del giornalista di effettuare, ove necessario, l’infor-
mativa di cui al comma 1 – trova applicazione l’obbligo degli editori di rendere noti al pubblico,
almeno due volte l’anno, mediante annunci, l’esistenza degli archivi e il luogo dove è possibile
esercitare i diritti previsti dalla legge n. 675/1996.
• Garante 11 agosto 1998, in Bollettino n. 5, pag. 27 (v. anche www.garanteprivacy.it: doc. n. 40607)

Pubblicazioni occasionali

Profili generali

L’art. 7, comma 5 ter, lett. n) della legge n. 675/1996, così come modificato dal d.lg.
n. 255/1997, esonera dall’obbligo di notificazione coloro che raccolgono ed elaborano tempora-
neamente dati finalizzati alla pubblicazione o alla diffusione occasionale di articoli, saggi ed
altre manifestazioni del pensiero. Pertanto, tale ipotesi di esonero – a cui sono estranei i giorna-
listi, i pubblicisti ed i praticanti, che sono autorizzati ad effettuare una notificazione in forma
semplificata – si applica non solo agli innumerevoli soggetti che collaborano saltuariamente con
quotidiani, collane e periodici (pubblicati anche per via telematica) o che sono autori di libri ed
opere audiovisive, ma anche agli editori ed ai produttori che curano la materiale confezione delle
pubblicazioni e delle espressioni letterarie ed artistiche.
• Garante 24 marzo 1998, in Bollettino n. 4, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 41822)

Nel disciplinare per regolamento la conoscibilità delle informazioni in suo possesso, l’ente
locale (nella specie il comune) può contemplarne la diretta divulgabilità tramite riviste e noti-
ziari, anche telematici, curati dall’ente stesso. Poiché la loro pubblicazione ricade nell’ampia
nozione di trattamento finalizzato “esclusivamente alla pubblicazione occasionale di articoli,
saggi o altre manifestazioni del pensiero”, l’ente locale deve tenere conto della disciplina del
trattamento dei dati a fini giornalistici e di divulgazione anche temporanea delle manifestazioni
del pensiero prevista dall’art. 25 della legge n. 675/1996.
• Garante 23 maggio 2000, in Bollettino n. 13, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40229)

Le norme della legge n. 675/1996 relative al trattamento dei dati personali per finalità gior-
nalistiche (artt. 12, comma 1, lett. e), 20, comma 1, lett. d) e 25), nonché le disposizioni contenute

88 Massimario 1997/2001 • Privati ed enti pubblici economici


nel codice deontologico del settore (pubblicato sulla G.U. 3 agosto 1998 n. 179), si applicano
anche ad ogni trattamento temporaneo finalizzato esclusivamente a pubblicazioni occasionali.
• Garante 28 settembre 2001, in Bollettino n. 22, pag. 13 (v. anche www.garanteprivacy.it: doc. n. 39752)

Biografie di dirigenti di partiti politici

La pubblicazione, ad opera di un partito politico, delle biografie dei propri dirigenti rientra
nella previsione di cui all’art. 25, comma 4 bis della legge n. 675/1996, che estende le preroga-
tive dei giornalisti ai soggetti che curano la pubblicazione di articoli, saggi e altre manifestazioni
del pensiero.
• Garante 30 marzo 1998, in Bollettino n. 4, pag. 12 (v. anche www.garanteprivacy.it: doc. n. 39760)

Epistolario

La pubblicazione di un epistolario, comprensiva di note esplicative ed indici, concernente


una raccolta di corrispondenza indirizzata ad una personalità di spicco della letteratura italiana,
può ricadere nell’ampia nozione di trattamento finalizzato “esclusivamente alla pubblicazione
occasionale di articoli, saggi e altre manifestazioni del pensiero” previsto dall’art. 25, comma 4
bis della legge n. 675/1996, norma la cui applicazione esenta dall’acquisizione del consenso
degli interessati (cfr. art. 12, lett. e) della legge). L’informativa può essere premessa alla pubbli-
cazione in una forma semplificata, che specifichi l’identità del curatore dell’epistolario e l’indi-
rizzo al quale fare riferimento per l’eventuale esercizio dei diritti di cui all’art. 13 della legge.
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 114 (v. anche www.garanteprivacy.it: doc. n. 42328)

Opuscoli di propaganda politica ed elettorale

La disciplina sulla diffusione di opuscoli di propaganda politica ed elettorale contenenti


dati sensibili muta a seconda delle caratteristiche dei singoli opuscoli e dei dati raccolti. Infatti,
qualora detti opuscoli siano curati da giornalisti o da pubblicisti per l’esclusivo perseguimento
di finalità proprie a tali figure, trovano applicazione le disposizioni della legge n. 675/1996 sul-
l’attività giornalistica, le quali non prevedono il previo consenso al trattamento da parte degli
interessati; dette disposizioni, inoltre, ai sensi dell’art. 25, comma 4 bis della legge, trovano
applicazione anche per i trattamenti temporanei operati da soggetti diversi da quelli che svol-
gono la professione di giornalista ma che siano pur sempre finalizzati all’esclusivo fine della
pubblicazione occasionale di articoli, saggi ed altre manifestazioni del pensiero, benché effet-
tuata nell’ambito di un’attività politica.
• Garante 30 marzo 1998, in Bollettino n. 4, pag. 28 (v. anche www.garanteprivacy.it: doc. n. 42220)

SETTORI DI ATTIVITÀ> ATTIVITÀ GIORNALISTICA > 89


PUBBLICAZIONI OCCASIONALI > BIOGRAFIE DI DIRIGENTI DI PARTITI POLITICI
Provvedimenti disciplinari adottati dai Consigli dell’Ordine degli
avvocati

È lecita la divulgazione, tramite riviste o notiziari curati dai Consigli dell’Ordine degli avvo-
cati, dei provvedimenti disciplinari adottati dai Consigli stessi nei confronti degli iscritti, trattan-
dosi di attività di pubblicazione riconducibile all’ampia nozione di trattamento di dati personali
finalizzato alla pubblicazione o diffusione occasionale di articoli, saggi o altre manifestazioni del
pensiero, cui è applicabile la disciplina prevista dall’art. 25 della legge n. 675/1996 in tema di
attività giornalistica e di informazione.
• Garante 29 marzo 2001, in Bollettino n. 18, pag. 20 (v. anche www.garanteprivacy.it: doc. n. 39536)

Rassegne stampa

La predisposizione di una “rassegna stampa” a fini d’informazione endoaziendale costi-


tuisce un trattamento di dati che, sostanziandosi nella sola collezione (raccolta, consultazione
e conservazione) di articoli di stampa e di estratti di agenzie, può essere annoverato tra quelli
che non richiedono il consenso degli interessati, in quanto effettuati da giornalisti professioni-
sti o pubblicisti o, comunque, finalizzati alla pubblicazione occasionale di articoli, saggi ed altre
manifestazioni del pensiero. Pertanto, trattasi di trattamenti che non necessitano di alcuna
autorizzazione da parte del Garante, nei cui confronti trovano applicazione gli artt. 12, comma
1, lett. e), 20 comma 1, lett. d) e 25 della legge n. 675/1996, come rispettivamente integrati dal
d.lg. n. 171/1998.
• Garante 14 gennaio 1999, in Bollettino n. 7, pag. 30 (v. anche www.garanteprivacy.it: doc. n. 40257)

Casi particolari

Dati reddituali dei contribuenti

In base alla legge n. 675/1996 (art. 27, comma 3) le amministrazioni pubbliche possono
divulgare i nominativi di contribuenti che hanno dichiarato redditi superiori ad una certa soglia,
trattandosi di informazioni la cui diffusione è prevista da una norma di legge (art. 69 del d.P.R.
n. 600/1973). In base a tale normativa, i dati possono essere poi oggetto di ulteriore circola-
zione a cura dei mezzi di informazione, senza che sia necessario acquisire il consenso degli
interessati (artt. 12 e 20 della legge n. 675/1996).
• Garante 13 ottobre 2000, in Bollettino n. 14/15, pag. 9 (v. anche www.garanteprivacy.it: doc. n. 41023)

La pubblicazione, a cura del Ministero delle finanze, dei nominativi dei contribuenti non
contrasta con le disposizioni della legge n. 675/1996, in quanto i dati reddituali e gli elenchi che
li contengono sono soggetti a specifiche norme regolamentari (art. 69, commi 1, 2, 3 e 4 del
d.P.R. n. 600/1973) che, per rilevanti finalità d’interesse pubblico, ne prevedono la piena cono-

90 Massimario 1997/2001 • Privati ed enti pubblici economici


scibilità da parte di chiunque. Pertanto, stante il generale regime di conoscibilità cui tali dati
sono sottoposti, anche in assenza del consenso degli interessati non sussiste alcuna preclusione
alla loro ulteriore circolazione tramite i mezzi d’informazione, i quali non sono neanche tenuti a
dimostrare la sussistenza del requisito dell’essenzialità dell’informazione rispetto a fatti d’inte-
resse pubblico (art. 20, comma 1, lett. d), della legge n. 675/1996).
• Garante 17 gennaio 2001, in Bollettino n. 16, pag. 5 (v. anche www.garanteprivacy.it: doc. n. 41031)

Dati derivanti da intercettazioni

Con riferimento alla pubblicazione su un quotidiano delle trascrizioni di conversazioni tele-


foniche registrate nel corso di un’inchiesta giudiziaria, incombe sul giornalista il dovere di acqui-
sire lecitamente i documenti relativi alle trascrizioni delle intercettazioni (art. 9, comma 1, lett. a)
della legge n. 675/1996), e di utilizzarli tenendo conto del principio della pertinenza rispetto alle
finalità perseguite (lett. d), comma 1, art. cit.), oltre che di rispettare il parametro dell’essenzia-
lità dell’informazione (art. 20, comma 1, lett. d)). Pur potendo riferire, anche senza il consenso
dell’interessato, notizie e circostanze di natura privata, il giornalista deve quindi rispettare i
limiti imposti dalla tutela della riservatezza, dell’identità personale e della dignità della persona,
mantenendo il riserbo su quelle parti delle conversazioni che attengono a comportamenti stret-
tamente personali non connessi al contesto giudiziario.
• Garante 16 ottobre 1997, in Bollettino n. 2, pag. 71 (v. anche www.garanteprivacy.it: doc. n. 40659)

Interviste e dichiarazioni alla stampa

La legge n. 675/1996, che considera “dato personale” qualunque informazione che con-
senta l’identificazione del soggetto interessato, anche se derivante da suoni o immagini (es.: regi-
strazioni sonore, filmati, ecc.), riguarda tutte le operazioni di trattamento dei dati, a prescindere
dal fatto che le informazioni trattate siano contenute in una banca dati o in un archivio. Anche
un’intervista o un colloquio, quindi, come qualsiasi altra dichiarazione, opinione, o manifesta-
zione del pensiero proveniente dall’interessato (uno scritto, un saggio, un articolo, ecc.), costitui-
scono informazioni che riguardano la sua persona e come tali “dati personali”, essendo del tutto
irrilevante la forma in cui sono trattate o gli eventuali supporti che le contengono. Ne consegue
che l’interessato ha pieno diritto di ottenere dall’editore di un quotidiano e dal giornalista autore
dell’articolo la comunicazione, in una forma chiaramente intelligibile (es.: attraverso riproduzione
su supporto sonoro o cartaceo), della registrazione di una propria intervista rilasciata al giornale
e poi divenuta oggetto dell’articolo.
• Garante 26 novembre 1998, in Bollettino n. 6, pag. 32 (v. anche www.garanteprivacy.it: doc. n. 40029)

Minori

Contrasta con i principi posti dalla legge n. 675/1996 in tema di corretto espletamento del-

SETTORI DI ATTIVITÀ> ATTIVITÀ GIORNALISTICA > 91


CASI PARTICOLARI> DATI DERIVANTI DA INTERCETTAZIONI
l’attività giornalistica la pubblicazione su un quotidiano dei dati personali di un minore, idonei
ad identificarlo, ove tale pubblicazione non risulti essenziale sia rispetto al fatto di interesse
pubblico oggetto della notizia, sia ai fini dell’esercizio del diritto di cronaca, tenuto anche conto
della previsione dell’art. 13, comma 1 del d.P.R. n. 448/1998, che vieta la pubblicazione e la divul-
gazione di notizie idonee a consentire l’identificazione del minorenne coinvolto in un procedi-
mento penale (fattispecie relativa ad un minore che, alla guida di un ciclomotore, aveva investito
una persona, causandone il decesso).
• Garante 17 giugno 1998, in Bollettino n. 6, pag. 87 (v. anche www.garanteprivacy.it: doc. n. 38961)

Il Codice deontologico dei giornalisti – in particolare, l’art. 7, che richiama anche i principi
posti dalla “Carta di Treviso” del 4/5 ottobre 1990 – pone il diritto alla riservatezza di minori
“come primario rispetto al diritto di critica e di cronaca”. Nel pubblicare su un quotidiano un arti-
colo dedicato alla vicenda di un minore, i responsabili della testata debbono quindi astenersi dal
riportare un insieme di informazioni (iniziali del nome e cognome dell’interessato, nome dell’i-
stituto scolastico e classe frequentata) che possono portare con facilità alla identificazione del
soggetto, specie in presenza di un limitato contesto territoriale di riferimento (fattispecie rela-
tiva alla pubblicazione da parte del quotidiano della notizia del malore di una minorenne, resa
identificabile, associandolo ai contraccolpi psicologici determinati dalla cessazione del funzio-
namento di un “pulcino elettronico”).
• Garante 16 giugno 1999, in Bollettino n. 9, pag. 63 (v. anche www.garanteprivacy.it: doc. n. 40049)

Non risulta conforme ai principi in materia di trattamento dei dati nell’esercizio della pro-
fessione giornalistica posti dalla legge n. 675/1996 – in particolare, artt. 12, comma 1, lett. e), 20,
comma 1, lett. d) e 25 – e dal codice deontologico del settore – v. art. 7, che richiama anche i prin-
cipi posti dalla “Carta di Treviso” – la pubblicazione, su di un settimanale, di un servizio giorna-
listico contenente dati personali (fotografie, didascalie, ecc.) di un minore, persona in certa
misura già nota al pubblico, costituito da riprese a distanza di momenti della sua vita scolastica
associate a fantasiosi commenti sul suo stato d’animo, ove essi possano avere incidenza sulla
sua identità ed incrementare la spettacolarizzazione del suo caso.
• Garante 7 ottobre 1999, in Bollettino n. 10, pag. 63 (v. anche www.garanteprivacy.it: doc. n. 31027)

Ai sensi dell’art. 7, comma 3, del codice di deontologia relativo al trattamento dei dati per-
sonali nell’esercizio dell’attività giornalistica, il diritto del minore alla riservatezza dev’essere
sempre considerato come primario rispetto al diritto di critica e di cronaca anche qualora il
minore sia coinvolto in fatti di cronaca e sussista un motivo di rilevante interesse pubblico alla
conoscenza di talune notizie; in tale ipotesi, il giornalista, fermi restando i limiti di legge, può
comunque decidere di diffondere notizie od immagini riguardanti i minori, facendosi carico della
responsabilità di valutare se tale pubblicazione sia davvero nell’interesse oggettivo del minore,
secondo i principi ed i limiti stabiliti dalla “Carta di Treviso”.
• Garante 28 maggio 2001, in Bollettino n. 20, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 40923)

92 Massimario 1997/2001 • Privati ed enti pubblici economici


Ai sensi dell’art. 6, comma 1, del Codice deontologico, la condizione di notorietà che, nel-
l’esercizio dell’attività giornalistica, giustifica la raccolta e la diffusione dei dati attinenti al
ruolo ed alla vita pubblica dell’interessato, non solo non consente di raccogliere o diffondere
informazioni attinenti alla sua sfera privata che non abbiano rilievo sotto tali profili, ma non
può neanche comportare un affievolimento della tutela riconosciuta ai suoi congiunti e, segna-
tamente, ai minori. Ne consegue che, in assenza di consenso ed in difetto dei presupposti di
cui agli artt. 5, 6 e 7 del Codice deontologico, deve ritenersi illecita la pubblicazione di foto
scattate in occasione dell’ingresso di un personaggio famoso e dei suoi figli minori in uno stu-
dio pediatrico.
• Garante 28 maggio 2001, in Bollettino n. 20, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 40923)

La normativa posta in materia di trattamento dei dati personali nell’ambito dell’attività


giornalistica dalla legge n. 675/1996 (in specie, art. 25) e dal codice di deontologia del settore
(pubblicato su G.U. 3 agosto 1998, n. 179), secondo la quale il diritto alla riservatezza dei minori
deve essere considerato sempre “primario” rispetto al diritto di critica e di cronaca (art. 7,
comma 3 del codice), vieta di pubblicare i nomi delle persone di minor età coinvolte in fatti di cro-
naca e di fornire particolari in grado di condurre alla loro identificazione (art. 7, comma 1 del
codice). Il giornalista che “per motivi di rilevante interesse pubblico” (art. 7 del codice) decide di
diffondere notizie o immagini riguardanti minori deve farsi carico di valutare, sotto la propria
responsabilità, l’esistenza dell’“oggettivo interesse” del minore alla diffusione delle informa-
zioni che lo riguardano, secondo i principi e i limiti stabiliti nella “Carta di Treviso” (5/10/90 –
25/11/95). In relazione ai suddetti principi, il Garante ha ritenuto non conformi a diritto, provve-
dendo alle relative segnalazioni ai sensi dell’art. 31, comma 1, lett. c), della legge n. 675/1996:
1) la pubblicazione dei dati identificativi della madre della minore, del nome della scuola
da questa frequentata, dell’indirizzo della famiglia e di una fotografia della madre che, a sua
volta, mostrava una fotografia della figlia, tenuto conto della specifica situazione in cui era coin-
volta la minore, relativa a presunte molestie sessuali subite in famiglia;
2) la messa in onda, nel corso di un telegiornale, di un’intervista in cui venivano diffusi i
nomi e mostrate le fotografie di due minorenni allontanate dalla famiglia e affidate ad un isti-
tuto di accoglienza (nella specie, il Garante ha ritenuto violato anche il principio, fissato dal-
l’art. 20, comma 1, lett. c), della legge n. 675/1996, di essenzialità dell’informazione rispetto al
fatto di pubblico interesse riportato nell’intervista, costituito dall’intento di sensibilizzare l’o-
pinione pubblica locale circa l’operato di alcuni assistenti sociali, che veniva fatto oggetto di cri-
tiche);
3) la pubblicazione della fotografia di un uomo, imputato di violenza carnale ai danni di un
giovane, ritratto insieme alla nipote minorenne e ad altri congiunti. Riguardo sia a questi ultimi,
sia alla minore, il Garante ha ritenuto violata anche la norma, posta dall’art. 5 del Codice deon-
tologico, che impone di evitare riferimenti a congiunti o ad altri soggetti estranei ai fatti oggetto
della notizia;
4) la pubblicazione non solo degli elementi identificativi di un minore autore dell’omicidio
della fidanzata, anch’essa minorenne, ma anche di dettagli relativi al suo stato di salute rileva-
bili dalla pubblicazione di ampi stralci della perizia medico-psichiatrica disposta dal giudice
minorile (e ciò in contrasto anche con l’art. 13 del d.P.R. n. 448/1988, che vieta la pubblicazione

SETTORI DI ATTIVITÀ> ATTIVITÀ GIORNALISTICA > 93


CASI PARTICOLARI> MINORI
di notizie ed immagini idonee a consentire l’identificazione dei minorenni coinvolti in procedi-
menti penali).
• Garante 15 novembre 2001, in Bollettino n. 23, pag. 11 (v. anche www.garanteprivacy.it: doc. n. 40209)
• Garante 15 novembre 2001, in Bollettino n. 23, pag. 13 (v. anche www.garanteprivacy.it: doc. n. 42212)
• Garante 15 novembre 2001, in Bollettino n. 23, pag. 15 (v. anche www.garanteprivacy.it: doc. n. 39596)
• Garante 15 novembre 2001, in Bollettino n. 23, pag. 9 (v. anche www.garanteprivacy.it: doc. n. 30943)

Cronaca giudiziaria

La diffusione, attraverso i mezzi d’informazione, della notizia afferente l’invito a compa-


rire innanzi all’autorità giudiziaria penale, prima che di detto provvedimento abbia avuto effet-
tiva conoscenza l’interessato, costituisce violazione dei principi di liceità e correttezza fissati
dall’art. 9, comma 1, lett. a) della legge n. 675/1996 allorché non siano rinvenibili concreti ele-
menti che giustifichino l’immediato esercizio del diritto di cronaca (fattispecie antecedente
l’introduzione del codice di deontologia di settore).
• Garante 2 luglio 1997, in Bollettino n. 1, pag. 23 (v. anche www.garanteprivacy.it: doc. n. 39256)

La pubblicazione su un quotidiano della notizia della richiesta di rinvio a giudizio dell’inte-


ressato – anche quando avvenga prima che questi abbia ricevuto una formale comunicazione – è
legittima perché tale richiesta, non essendo qualificabile come atto d’indagine, non è soggetta
all’obbligo del segreto imposto dall’art. 329 c.p.p., purché non vengano oltrepassati i limiti al
diritto di cronaca posti dalla legge n. 675/1996 a tutela del diritto alla riservatezza (art. 20,
comma 1, lett. d)).
• Garante 14 ottobre 1997, in Bollettino n. 2, pag. 69 (v. anche www.garanteprivacy.it: doc. n. 30979)

Risulta aderente ai principi fissati in tema di trattamento dei dati nello svolgimento del-
l’attività giornalistica dalla legge n. 675/1996 (artt. 12, comma 1, lett. e), 20, comma 1, lett. d) e
25) e dal codice deontologico di settore (pubblicato su G.U. 3 agosto 1998 n. 179), la pubblica-
zione su un quotidiano della notizia della richiesta di rinvio a giudizio dell’interessato, anche
quando questi è indicato nominativamente, perché tale richiesta, non qualificabile come atto
d’indagine, non è soggetta all’obbligo del segreto imposto dall’art. 329 c.p.p., e purché la noti-
zia sia caratterizzata dalla rilevanza pubblica nell’ambito territoriale di riferimento della testata
giornalistica, dalla sua veridicità e dalla forma civile dell’esposizione.
• Garante 25 ottobre 2001, in Bollettino n. 23, pag. 19 (v. anche www.garanteprivacy.it: doc. n. 40739)
• Garante 19 dicembre 2001, in Bollettino n. 23, pag. 17 (v. anche www.garanteprivacy.it: doc. n. 39336)

Non viola la disciplina posta a tutela della riservatezza in materia di trattamento dei dati
personali nell’esercizio dell’attività giornalistica (contenuta negli artt. 12, comma 1, lett. e),
20, comma 2, lett. d) e 25 della legge n. 675/1996, nonché nel codice deontologico di settore,

94 Massimario 1997/2001 • Privati ed enti pubblici economici


pubblicato su G.U. 3 agosto 1998 n. 179), la pubblicazione su un quotidiano dei dati (nome,
età, professione) identificativi dell’interessato maggiorenne, tratti da una sentenza dell’a.g.o.,
ove la notizia, esposta in forma civile, si riferisca ad un fatto (nella specie, un tragico sinistro
stradale) di cui non è controversa la verità né la rilevanza pubblica nell’ambito locale di diffu-
sione della testata giornalistica. Ai sensi dell’art. 20,comma 1, lett. d) della legge n. 675/1996
il trattamento dei dati in questione può avvenire senza il consenso dell’interessato.
• Garante 30 ottobre 2001, in Bollettino n. 23, pag. 22 (v. anche www.garanteprivacy.it: doc. n. 42188)

Risulta aderente ai principi posti dalla legge n. 675/1996 la pubblicazione su un quotidiano


della sentenza emessa nei confronti dell’interessato maggiorenne, anche quando vengano resi
noti la sua identità, il capo di imputazione e la condanna irrogata, ove risulti la verità dei fatti, la
forma civile dell’esposizione e la rilevanza pubblica della notizia nel contesto locale di riferi-
mento della testata giornalistica. Il relativo trattamento dei dati personali può avvenire senza il
consenso dell’interessato (art. 20, comma 1, lett. d) della legge).
• Garante 21 novembre 2001, in Bollettino n. 23, pag. 108 (v. anche www.garanteprivacy.it: doc. n. 39668)

Pubblicazioni di matrimonio

Ai sensi degli artt. 12, comma 1, lett. e) e 20, comma 1, lett. d), della legge n. 675/1996, i
dati contenuti nelle pubblicazioni di matrimonio possono essere divulgati a fini giornalistici
anche senza il consenso degli interessati, fermi restando i limiti del diritto di cronaca posti a
tutela della riservatezza e le specifiche disposizioni poste dal codice deontologico di settore;
pertanto, la possibilità di raccogliere e di diffondere i dati estratti dalle pubblicazioni affisse
all’albo pretorio, nell’esercizio della professione di giornalista e per il perseguimento delle rela-
tive finalità, non lede, di per se stessa, la sfera privata degli interessati che, in caso di eventuale
esercizio del diritto di opposizione, sono tenuti ad esplicitare in concreto le ragioni personali
ostative alla prosecuzione del trattamento.
• Garante 17 febbraio 2000, in Bollettino n. 11/12, pag. 20 (v. anche www.garanteprivacy.it: doc. n. 38969)

Segreto professionale del giornalista

Il diritto di accesso sancito dall’art. 13 della legge n. 675/1996 è riconosciuto anche nei
confronti dei giornalisti e degli editori, i quali devono confermare senza ritardo se detengono o
meno dati personali che riguardano l’interessato, comunicandoli in una forma intelligibile e for-
nendo riscontro anche alle richieste di blocco e di cancellazione eventualmente presentate.
Resta fermo il dovere dei giornalisti e degli editori di rispettare il segreto professionale sulla
fonte delle notizie, qualora ciò sia richiesto dal relativo carattere fiduciario (art. 2, comma 3 della
legge n. 69/1963).
• Garante 16 ottobre 1997, in Bollettino n. 2, pag. 71 (v. anche www.garanteprivacy.it: doc. n. 40659)

SETTORI DI ATTIVITÀ> ATTIVITÀ GIORNALISTICA > 95


CASI PARTICOLARI> PUBBLICAZIONI DI MATRIMONIO
La legge n. 675/1996 reca un’esplicita clausola di salvaguardia delle norme sul segreto
professionale del giornalista, il quale può far valere la tutela della confidenzialità della fonte
delle notizie qualora ciò sia richiesto dal relativo carattere fiduciario, in ogni circostanza e sede
nella quale la legge n. 675/1996 trovi applicazione, anche nei confronti del Garante e del citta-
dino che intenda tutelare i propri diritti.
• Garante 24 marzo 1998, in Bollettino n. 4, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 41822)

Biometria
Le impronte dattiloscopiche, che forniscono un preciso elemento identificativo di ogni per-
sona fisica, alla luce della definizione fornita dall’art. 1, comma 2, lett. c) della legge n. 675/1996
sono senza dubbio dati personali e, pertanto, il loro trattamento rientra nell’ambito di applica-
zione della legge.
• Garante 19 novembre 1999, in Bollettino n. 10, pag. 68 (v. anche www.garanteprivacy.it: doc. n. 42058)

Il trattamento di dati connesso all’acquisizione delle impronte digitali dei clienti di un cen-
tro sportivo privato non contrasta, di per sé, con la legge n. 675/1996, a condizione che agli inte-
ressati (ossia alle persone che si sono iscritte o che comunque accedono al centro) sia fornita,
anche oralmente, la prescritta informativa (art. 10) e sia richiesto, se necessario, il relativo con-
senso (artt. 11 e 12).
• Garante 19 novembre 1999, in Bollettino n. 10, pag. 68 (v. anche www.garanteprivacy.it: doc. n. 42058)

Deve essere disposto il divieto del trattamento dei dati raccolti con un rilevatore di
impronte digitali (nella specie associato alle immagini riprese da un sistema video) posto all’in-
gresso di un istituto di credito, ove non giustificato da elementi che evidenzino una concreta
situazione di rischio. Un’attività indifferenziata di raccolta di dati significativi, quali le impronte
associate alle immagini, imposta a tutti coloro che entrano nella banca, non può ritenersi di per
sé legittimata da un’esigenza generica di sicurezza, traducendosi in un sacrificio sproporzionato
della sfera di libertà di tutte le persone interessate che possono legittimamente lamentare anche
una considerazione non adeguata e un rilevante pregiudizio della propria dignità personale.
• Garante 11 dicembre 2000, in Bollettino n. 14/15, pag. 30 (v. anche www.garanteprivacy.it: doc. n. 30903)

Rientra tra i compiti del Garante l’instaurazione di un procedimento ai sensi dell’art. 31,
comma 1, lett. c), della legge n. 675/1996 al fine del controllo della liceità del trattamento dei dati
personali (finalità e modalità del trattamento, consultazione dei dati, comunicazione a terzi, con-
servazione e distruzione) operato da un istituto bancario attraverso la raccolta delle impronte
digitali e dell’immagine del volto dei clienti all’ingresso dei locali della banca.
• Garante 28 febbraio 2001, in Bollettino n. 17, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 40181)

96 Massimario 1997/2001 • Privati ed enti pubblici economici


Costituiscono dati personali ai sensi dell’art. 1, comma 2, lett. c), della legge n. 675/1996
le impronte digitali e l’immagine del volto dei clienti di un istituto di credito raccolti all’entrata
della banca attraverso un apposito dispositivo elettronico (chiamato biodigit).
• Garante 28 febbraio 2001, in Bollettino n. 17, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 40181)

La rilevazione dei dati biometrici (nel caso di specie impronte digitali associate ad imma-
gini del volto) di coloro che accedono ai locali di una banca, ove formalmente giustificata dalla
mera affermazione di una generica ed indimostrata esigenza di sicurezza, non suffragata da spe-
cifici elementi di rischio, si pone in contrasto con il principio di proporzionalità di cui all’art. 9
della legge n. 675/1996. Ne consegue che il trattamento dei dati raccolti con detto sistema di
rilevamento è illecito, traducendosi in un sacrificio sproporzionato della sfera di libertà dei sin-
goli interessati.
• Garante 7 marzo 2001, in Bollettino n. 18, pag. 42 (v. anche www.garanteprivacy.it: doc. n. 30947)

L’accesso degli interessati, debitamente informati ex art. 10 della legge n. 675/1996, agli
sportelli bancari tramite i sistemi di rilevazione biometrica deve avvenire su base volontaria e
consensuale, previo abbinamento di detti sistemi ai comuni dispositivi d’ingresso già installati;
la possibilità di tale rilevazione – che, con riferimento alle impronte digitali, non deve dar luogo
ad alcuna “schedatura” da parte degli istituti di credito – non può autorizzare l’adozione di
comportamenti vessatori nei confronti di coloro che non ritengano di acconsentire alla rileva-
zione dell’impronta, con la conseguenza che, in caso d’indisponibilità a sottostare alle rileva-
zioni dei dati biometrici, all’utente deve essere comunque garantita la facoltà di accesso alla
banca, previa adozione di misure di cautela rimesse alla ragionevole valutazione del responsa-
bile della filiale.
• Garante 28 settembre 2001, in Bollettino n. 22, pag. 82 (v. anche www.garanteprivacy.it: doc. n. 39704)

Le informazioni personali eccezionalmente acquisite dalle banche tramite sistemi di rileva-


zione biometrica possono essere decrittate soltanto dall’autorità giudiziaria e dalla polizia giu-
diziaria, avuto riguardo a specifiche attività investigative connesse alla commissione di reati;
dette informazioni, che debbono essere protette con l’adozione di misure di sicurezza conformi
alle previsioni di cui all’art. 15, comma 1, della legge n. 675/1996 e del d.P.R. 318/1999 (anche in
riferimento alla custodia della c.d. “chiavi di accesso” al sistema ed ai dati), possono essere con-
servate in files giornalieri per un periodo non superiore ad una settimana, con successiva loro
cancellazione automatica da parte del sistema.
• Garante 28 settembre 2001, in Bollettino n. 22, pag. 82 (v. anche www.garanteprivacy.it: doc. n. 39704)

Nella carenza di una base normativa idonea ad operare adeguati bilanciamenti tra i con-
trapposti interessi, l’installazione di sistemi di rilevazione biometrica presso gli sportelli ban-

SETTORI DI ATTIVITÀ> BIOMETRIA > 97


cari, normalmente non in linea con il principio di proporzionalità di cui all’art. 9 della legge
n. 675/1996, può essere considerata lecita ove effettuata in via assolutamente temporanea ed
in considerazione di eccezionali circostanze di rischio determinatesi in un particolare momento
storico, da valutarsi da parte degli istituti bancari con particolare cautela, anche sulla base dei
precedenti eventi e delle concordanti valutazioni degli organi locali di pubblica sicurezza (nel
caso di specie, detta installazione è stata consentita in relazione alle straordinarie esigenze di
sicurezza degli utenti e dei dipendenti delle banche connesse all’imminente introduzione della
moneta unica ed alla conseguente disponibilità, presso gli sportelli, di ingenti quantitativi di
denaro contante).
• Garante 28 settembre 2001, in Bollettino n. 22, pag. 82 (v. anche www.garanteprivacy.it: doc. n. 39704)

L’utilizzazione generalizzata ed indiscriminata di sistemi di rilevazione biometrica all’in-


gresso degli istituti bancari non è consentita perché contraria al principio di proporzionalità tra
gli strumenti impiegati e le finalità prospettate (art. 9 della legge n. 675/1996); infatti, in caso di
mera affermazione di una generica esigenza di sicurezza, non suffragata da specifici elementi atti
ad evidenziare concrete situazioni di rischio, l’adozione di detti sistemi di rilevazione, in assenza
di adeguate norme di legge, si tradurrebbe in un sacrificio sproporzionato della sfera di libertà e
della dignità degli utenti.
• Garante 28 settembre 2001, in Bollettino n. 22, pag. 82 (v. anche www.garanteprivacy.it: doc. n. 39704)

Istituti di credito
Profili generali

Fuori dei casi di operazioni di comunicazione connesse a prestazioni richieste, a servizi ero-
gati o all’adempimento di obblighi normativi posti in favore di soggetti pubblici, gli istituti di cre-
dito ed il relativo personale devono mantenere il riserbo sulle informazioni relative ai propri clienti,
astenendosi dalla divulgazione a terzi. Inoltre, secondo la legge n. 675/1996, il titolare del tratta-
mento, ai fini del corretto esercizio della facoltà di cui all’art. 20, comma 1, lett. g) della legge, oltre
a valutare l’effettiva necessità della comunicazione dei dati per la difesa di un diritto in sede giu-
diziaria, è tenuto a verificare che la natura dei dati, il contesto in cui essi sono trattati e, in parti-
colare, il rapporto giuridico intercorrente con l’interessato, per disposto di legge o di contratto non
siano d’ostacolo all’esercizio di tale facoltà. Pertanto, sussistendo nei rapporti delle banche con la
clientela l’obbligo di mantenere il riserbo sulle operazioni, sui conti e sulle posizioni degli utenti
(c.d. segreto bancario), in assenza del consenso dell’interessato deve ritenersi illecita la comuni-
cazione dei dati personali di un cliente effettuata da un dipendente dell’istituto in favore del difen-
sore di un terzo (nel caso di specie il coniuge divorziato del ricorrente), perché contraria non solo
ai principi di liceità e correttezza del trattamento fissati dall’art. 9 della legge n. 675/1996, ma
anche agli specifici obblighi nascenti dal rapporto contrattuale (artt. 1175 e 1375 c.c.).
• Garante 23 maggio 2001, in Bollettino n. 20, pag. 30 (v. anche www.garanteprivacy.it: doc. n. 39821)

98 Massimario 1997/2001 • Privati ed enti pubblici economici


Rapporti con la Banca d’Italia

Ai sensi degli artt. 12, comma 1, lett. a) e 20, comma 1, lett. c), della legge n. 675/1996, non
è necessario acquisire il preventivo consenso dell’interessato per le operazioni di trattamento
dei dati effettuate dagli istituti di credito in adempimento di obblighi derivanti da norme di legge
o di regolamento, tra cui quelle previste dal T.U. delle leggi in materia bancaria e finanziaria; in
particolare, ai sensi degli artt. 53, comma 1, lett. b), 67, comma 1, lett. b) e 107, comma 2, della
legge n. 385/1993, tutte le banche sono tenute a segnalare al servizio di centralizzazione dei
rischi creditizi gestito dalla Banca d’Italia i crediti di un certo importo o comunque in sofferenza
(in conformità alle deliberazioni del C.I.C.R. e alle disposizioni impartite dalla Banca d’Italia nel-
l’ambito dei suoi poteri di vigilanza regolamentare), indipendentemente dall’esistenza di even-
tuali vincoli derivanti, per l’istituto segnalante e per i relativi dipendenti, da pregressi obblighi
contrattuali o relativi al segreto bancario.
• Garante 25 febbraio 2000, in Bollettino n. 11/12, pag. 31 (v. anche www.garanteprivacy.it: doc. n. 39248)

L’art. 13 della legge n. 675/1996 riconosce all’interessato il diritto di ottenere la cancella-


zione solamente dei dati trattati in violazione di legge. È quindi infondato, e deve essere conse-
guentemente respinto, il ricorso proposto dall’interessato ai sensi dell’art. 29 della legge per
ottenere da un istituto di credito la cancellazione dei dati riguardanti la propria situazione patri-
moniale, raccolti in relazione ad una richiesta di finanziamento, qualora tali dati – che, ai sensi
degli artt. 12, comma 1, lett. f ) e 20, comma 1, lett. e), della legge n. 675/1996, in quanto atten-
gono allo svolgimento di attività economiche, possono essere trattati anche senza il consenso
dell’interessato – siano detenuti in attuazione di disposizioni impartite dall’autorità di vigilanza
in tema di rilevazione del rischio creditizio e di obblighi di legge in materia di scritture e docu-
menti contabili che ne delimitano le modalità di utilizzo, imponendone anche la conservazione
solo per periodi di tempo determinati.
• Garante 6 febbraio 2001, in Bollettino n. 17, pag. 28 (v. anche www.garanteprivacy.it: doc. n. 40879)

Le operazioni di trattamento di dati svolte da una banca e finalizzate all’acquisizione


presso la Centrale rischi della Banca d’Italia ed al successivo utilizzo per finalità aziendali di
informazioni relative alle esposizioni di un cliente, o alle garanzie da questi prestate nei con-
fronti di terzi, risultano in via generale legittime, e la loro effettuazione non è necessariamente
subordinata al previo consenso dell’interessato, potendo operare anche i presupposti di cui
agli artt. 12, lett. f ) e 20, comma 1, lett. e), della legge n. 675/1996, secondo cui il trattamento
e la comunicazione dei dati a terzi è ammessa “se i dati sono relativi allo svolgimento di attività
economiche, nel rispetto della vigente normativa in materia di segreto aziendale e industriale”.
Quest’ultima espressione va intesa come divieto di divulgare, in taluni casi, notizie attinenti
all’organizzazione o a determinati metodi di produzione di un’impresa, ovvero come obbligo di
non divulgare talune conoscenze tecniche, ma non preclude ad una banca di effettuare, in con-
formità alle leggi, determinate verifiche sulla solidità economica di un soggetto anche presso la
menzionata Centrale rischi.
• Garante 10 aprile 2001, in Bollettino n. 19, pag. 26 (v. anche www.garanteprivacy.it: doc. n. 31015)

SETTORI DI ATTIVITÀ> ISTITUTI DI CREDITO > 99


RAPPORTI CON LA BANCA D’ITALIA
Ai sensi dell’art. 20, comma 1, lett. c), della legge n. 675/1996, la comunicazione dei dati
relativi all’indebitamento della clientela effettuata dagli intermediari finanziari alla Centrale
rischi della Banca d’Italia, in quanto dovuta per legge, non è sottoposta all’obbligo della pre-
ventiva acquisizione del consenso dei singoli interessati, cui resta preclusa la possibilità di chie-
dere la cancellazione dei dati o di opporsi al relativo trattamento.
• Garante 17 ottobre 2001, in Bollettino n. 23, pag. 29 (v. anche www.garanteprivacy.it: doc. n. 40907)

Casi particolari

Benefondi

La legge n. 675/1996 non ha introdotto alcun divieto nei confronti del c.d. “benefondi”
(consistente nell’accertamento, anche informale, attraverso il quale viene garantita l’esistenza,
presso una banca o una sede o filiale della stessa, della provvista corrispondente agli assegni
emessi). Il benefondi, infatti, è certamente riconducibile alle attività che la banca deve descri-
vere, sia pure in termini generali, nei modelli di informativa e di acquisizione del consenso, che
debbono comprendere le operazioni di comunicazione dei dati a terzi ed i trattamenti tempora-
nei che questi ultimi sono tenuti ad effettuare per la corretta esecuzione dei servizi richiesti.
• Garante 30 novembre 1998, in Bollettino n. 6, pag. 85 (v. anche www.garanteprivacy.it: doc. n. 39416)

Dichiarazione dei redditi dei contribuenti

Ai sensi del d.P.R. n. 600/1973, come modificato dal d.lg. n. 135/1998, e della convenzione
stipulata fra il Ministero delle finanze e l’A.B.I., le società specializzate eventualmente incaricate
dagli istituti di credito di trattare le informazioni contenute nelle dichiarazioni dei redditi dei con-
tribuenti, allo scopo di predisporle in formato elettronico per il successivo inoltro al Ministero,
non possono essere considerate quali autonomi titolari del trattamento; gli istituti di credito
debbono quindi procedere alla nomina del responsabile e delle persone fisiche incaricate di trat-
tare le dichiarazioni.
• Garante 7 luglio 1998, in Bollettino n. 5, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 40377)

Rilevazioni biometriche all’ingresso delle banche


• V.: PRIVATI ED ENTI PUBBLICI ECONOMICI > SETTORI DI ATTIVITÀ > BIOMETRIA (P. 92)

Riservatezza nelle operazioni bancarie

La c.d. “distanza di cortesia”, utilizzata da varie banche e in uso presso taluni uffici pub-

100 Massimario 1997/2001 • Privati ed enti pubblici economici


blici, risolvendosi in un approntamento di accorgimenti (cartelli, cordoli, ecc.) idonei a garantire
che l’utente impegnato in un’operazione allo sportello abbia a disposizione uno spazio fisico
che ne consenta l’esecuzione in forma confidenziale rispetto agli altri utenti presenti, costitui-
sce una misura opportuna per prevenire l’accesso non autorizzato ai dati da parte di terzi, il
quale può avvenire anche in modo “passivo” (cioè sulla scorta del mero ascolto del dialogo tra
il cliente e l’operatore).
• Garante 30 marzo 1998, in Bollettino n. 4, pag. 58 (v. anche www.garanteprivacy.it: doc. n. 39464)

L’A.B.I., quale associazione di categoria, ha previsto, nell’ambito dei “Principi generali” del
codice di comportamento del settore bancario e finanziario, adottato con finalità di autodisci-
plina, che ciascun istituto di credito debba impegnarsi a “curare le condizioni di accessibilità alle
strutture fisiche e la riservatezza nello svolgimento delle operazioni”. Ne consegue che la banca,
quale titolare del trattamento, è tenuta non solo a garantire – mediante l’adozione di idonee e
preventive misure di sicurezza – che le operazioni di trattamento siano eseguite – e, quindi, siano
conoscibili – soltanto da parte dei soggetti responsabili o incaricati del trattamento stesso, ma
anche ad impedire l’accesso ai dati da parte di terzi non autorizzati.
• Garante 30 marzo 1998, in Bollettino n. 4, pag. 58 (v. anche www.garanteprivacy.it: doc. n. 39464)

Istituti scolastici e università


• V.: SOGGETTI PUBBLICI > SETTORI DI ATTIVITÀ > ISTITUTI SCOLASTICI E UNIVERSITÀ (P. 125)

Lavoro e previdenza
• V.: SOGGETTI PUBBLICI > SETTORI DI ATTIVITÀ > LAVORO E PREVIDENZA (P. 128)

Sanità
• V.: SOGGETTI PUBBLICI > SETTORI DI ATTIVITÀ > SANITÀ (P. 140)

Videosorveglianza
La legge n. 675/1996 considera come “dato personale” qualunque informazione che con-
senta l’identificazione dei soggetti interessati anche attraverso suoni e immagini, ed anche se in
via indiretta, mediante il collegamento con altre informazioni. La legge è applicabile anche ai

SETTORI DI ATTIVITÀ> ISTITUTI SCOLASTICI E UNIVERSITÀ 101


trattamenti di suoni e immagini effettuati attraverso sistemi di videosorveglianza, a prescindere
dalla circostanza che tali informazioni, dopo il loro monitoraggio in un circuito di controllo, siano
eventualmente registrate in un archivio elettronico o comunicate a terzi.
• Garante 17 dicembre 1997, in Bollettino n. 2, pag. 57 (v. anche www.garanteprivacy.it: doc. n. 39849)

Risulta legittima, in quanto rientrante nelle finalità istituzionali proprie degli organismi
sanitari pubblici (v. legge n. 833/1978 e successive modifiche ed integrazioni), perché connessa
all’attività di assistenza e cura dei pazienti, l’istallazione, presso i locali di un pronto soccorso
e nel reparto di rianimazione di un’Azienda ospedaliera, di apparecchiature di videosorve-
glianza, al fine rispettivamente del controllo della sicurezza dei corridoi e delle sale di attesa e
per consentire il continuo monitoraggio delle condizioni dei pazienti ricoverati. Anche in consi-
derazione del fatto che, nella specie, si verte in tema di trattamento di dati sensibili (art. 22
della legge n. 675/1996), l’istallazione di tale sistema richiede, peraltro, l’osservanza di speci-
fiche prescrizioni poste dalla legge n. 675/1996, quali la determinazione della localizzazione
delle telecamere e delle modalità di ripresa (in ottemperanza ai principi di pertinenza e non
eccedenza dei dati rispetto alle finalità perseguite fissati dall’art. 9, comma 1, lett. d)), la defi-
nizione dei soggetti (responsabile, incaricati) legittimati a trattare i dati personali, la individua-
zione di idonee misure di sicurezza ai sensi dell’art. 15 (al fine di evitare che i dati possano
entrare nella disponibilità di soggetti non autorizzati), la fissazione di precisi parametri concer-
nenti la eventuale conservazione delle immagini registrate per un periodo di tempo non supe-
riore a quello necessario agli scopi per i quali i dati sono stati raccolti e trattati (art. 9, comma
1, lett. e), la previsione delle forme e delle modalità di informativa agli interessati (art. 10).
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 139 (v. anche www.garanteprivacy.it: doc. n. 40361)

La Direttiva comunitaria n. 95/46/CE, la convenzione n. 108/1981 del Consiglio d’Europa e


la legge n. 675/1996, che ha attuato la convenzione ed ha in buona parte recepito la Direttiva,
rendono obbligatoria l’applicazione della disciplina sul trattamento dei dati personali anche ai
suoni e alle immagini – quali quelle registrate nei controlli video – che consentano di identificare
un soggetto, anche in via indiretta, attraverso il collegamento con altre informazioni.
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 139 (v. anche www.garanteprivacy.it: doc. n. 40361)

Secondo i principi condivisi in sede europea – cui le normative nazionali debbono ispirarsi
– in tema di installazione e di esercizio di video impianti per la rilevazione degli accessi dei vei-
coli all’interno dei centri storici e delle zone a traffico limitato, le singole amministrazioni pos-
sono introdurre detti sistemi purché il monitoraggio del traffico avvenga attraverso l’impiego di
dati anonimi, con possibilità di acquisizione delle immagini soltanto nel caso di effettiva com-
missione di infrazioni; inoltre, l’utilizzazione dei dati in tal modo acquisiti può avvenire per la
sola finalità dell’applicazione delle norme sugli accessi, salva la possibilità di un loro eventuale
uso per fini di giustizia e di messa a disposizione in forma anonima per ragioni di studio o di

102 Massimario 1997/2001 • Privati ed enti pubblici economici


ricerca statistica. Infine, la conservazione di tali immagini da parte delle amministrazioni dev’es-
sere limitata al periodo strettamente necessario all’applicazione delle sanzioni ed alla defini-
zione dell’eventuale contenzioso, con obbligo di tracciamento delle eventuali consultazioni
effettuate presso la banca dati (costituita dalle immagini) e con esclusione della possibilità di
realizzare interconnessioni con altri archivi o banche dati.
• Garante 24 febbraio 1999, in Bollettino n. 7, pag. 25 (v. anche www.garanteprivacy.it: doc. n. 42086)

Ai fini del contenimento della criminalità in particolari ambiti cittadini, possono essere
concluse, tra forze di polizia ed aziende comunali di trasporto pubblico, intese dirette all’in-
troduzione di sistemi di videosorveglianza attraverso l’installazione, in via sperimentale, di
telecamere su alcune linee di autobus e tram e presso le fermate. A tal fine, prima dell’attiva-
zione dei sistemi, la localizzazione delle telecamere e le modalità di ripresa andranno fissate
in aderenza alle finalità che ne hanno suggerito l’installazione, tenendo conto dei principi fis-
sati dall’art. 9 della legge n. 675/1996, con particolare riguardo a quelli di pertinenza e di non
eccedenza dei dati raccolti rispetto agli scopi perseguiti; inoltre, l’attività di videocontrollo,
oggetto di preventiva informativa agli utenti ex art. 10 della legge n. 675/1996, dovrà permettere
di cogliere in modo solo panoramico l’interno delle vetture o l’ambito delle singole fermate, in
maniera da evitare non solo riprese talmente particolareggiate da risultare intrusive della riser-
vatezza o da consentire la rilevazione di particolari non rilevanti, ma anche da impedire la viola-
zione delle previsioni di cui all’art. 4 della legge n. 300/1970 (in riferimento alle postazioni di
guida degli autisti). Infine, le immagini acquisite, accessibili in chiaro da una “stazione di lettura”
sulla scorta di un sistema di “doppia chiave” congiunta (una in possesso del personale dell’a-
zienda all’uopo preposto, l’altra in possesso dell’autorità di polizia), dovranno essere custodite
– unitamente ai sistemi di lettura – con adeguati sistemi di sicurezza, e potranno essere visionate
soltanto in occasione della commissione di atti criminosi ritualmente denunziati.
• Garante 23 marzo 1999, in Bollettino n. 8, pag. 57 (v. anche www.garanteprivacy.it: doc. n. 40899)

La Direttiva comunitaria n. 95/46/CE e la convenzione n. 108/1981 del Consiglio d’Europa


rendono obbligatoria l’applicazione della disciplina sul trattamento dei dati personali anche ai
suoni e alle immagini (quali quelle registrate nei controlli video), qualora permettano d’iden-
tificare un soggetto anche in via indiretta. La legge n. 675/1996, che ha attuato detta conven-
zione e, in buona parte, ha recepito la citata Direttiva, considera anch’essa come “dato perso-
nale” qualunque informazione – anche cifrata o codificata – che permetta l’identificazione,
anche in via indiretta, dei soggetti interessati, ivi compresi i suoni e le immagini. Pertanto, allo
stato, stante la carenza nel sistema italiano di una disciplina specifica in materia di videosor-
veglianza, ai trattamenti di immagini effettuati attraverso sistemi di controllo è senz’altro
applicabile la legge n. 675/1996.
• Garante 23 marzo 1999, in Bollettino n. 8, pag. 57 (v. anche www.garanteprivacy.it: doc. n. 40899)

La Direttiva comunitaria n. 95/46/CE e la convenzione n. 108/1981 del Consiglio d’Europa

SETTORI DI ATTIVITÀ> VIDEOSORVEGLIANZA 103


rendono obbligatoria l’applicazione della disciplina sul trattamento dei dati personali anche ai
suoni e alle immagini – quali quelle registrate nei controlli video -, qualora permettano di identi-
ficare un soggetto anche in via indiretta, attraverso il collegamento con altre informazioni. La
legge n. 675/1996, che ha attuato la convenzione e ha in buona parte recepito la Direttiva euro-
pea, considera anch’essa come “dato personale” qualunque informazione che permetta l’identi-
ficazione, anche in via indiretta, dei soggetti interessati, sebbene derivante da suoni o da imma-
gini anziché da dati alfanumerici; tale legge è, quindi, senz’altro applicabile anche ai trattamenti
di immagini effettuati attraverso i sistemi di videosorveglianza, a prescindere dalla circostanza
che le informazioni così ricavate siano eventualmente registrate in un archivio elettronico o
comunicate a terzi, dopo il loro temporaneo monitoraggio in un circuito di controllo.
• Garante 21 ottobre 1999, in Bollettino n. 10, pag. 80 (v. anche www.garanteprivacy.it: doc. n. 42288)

L’istallazione di un sistema di videosorveglianza da parte di un soggetto pubblico è subor-


dinata all’esistenza di una fonte normativa che la legittimi e ne indichi le relative finalità, ovvero
permetta di rilevare che tale iniziativa risponde alle funzioni istituzionali demandate all’ente (fat-
tispecie relativa al progetto di realizzazione da parte di un comune di un sistema di videosorve-
glianza all’interno di una riserva marina, finalizzato al tempestivo intervento in caso di infrazioni
o di situazioni di emergenza).
• Garante 21 ottobre 1999, in Bollettino n. 10, pag. 80 (v. anche www.garanteprivacy.it: doc. n. 42288)

La legge n. 675/1996 definisce “dato personale” qualunque informazione relativa a per-


sone identificate o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra
informazione. Ne consegue che debbono essere considerati dati di carattere personale anche le
registrazioni effettuate mediante l’uso di telecamere che, per l’ampiezza dell’angolo visuale, la
qualità degli strumenti, o altre caratteristiche della ripresa, pur non rendendo direttamente iden-
tificabili in maniera chiara ed univoca le persone inquadrate, ne permettano l’identificazione
attraverso il collegamento con altre fonti conoscitive, quali foto segnaletiche, identikit o archivi
di polizia contenenti immagini.
• Garante 21 ottobre 1999, in Bollettino n. 10, pag. 80 (v. anche www.garanteprivacy.it: doc. n. 42288)

Le registrazioni effettuate mediante l’uso di telecamere non contengono sempre e neces-


sariamente dati di carattere personale, in quanto la distanza, l’ampiezza dell’angolo visuale e la
qualità degli strumenti possono non rendere identificabili le persone inquadrate; comunque, ciò
non esclude l’applicazione della normativa sulla tutela della riservatezza, in quanto l’art. 1 della
legge n. 675/1996 definisce “dato personale” qualunque informazione relativa a persone identi-
ficate o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione
(ad esempio, attraverso il collegamento con altre fonti conoscitive quali foto segnaletiche, iden-
tikit o archivi di polizia contenenti immagini).
• Garante 17 febbraio 2000, in Bollettino n. 11/12, pag. 73 (v. anche www.garanteprivacy.it: doc. n. 40041)
• Garante 7 marzo 2000, in Bollettino n. 11/12, pag. 76 (v. anche www.garanteprivacy.it: doc. n. 30987)

104 Massimario 1997/2001 • Privati ed enti pubblici economici


In caso di realizzazione, da parte di un comune, di impianti di telecontrollo e videosorve-
glianza del territorio a fini di monitoraggio del traffico cittadino, per assicurare l’effettivo rispetto
dei principi posti dall’art. 9 della legge n. 675/1996 è necessario procedere ad una precisa loca-
lizzazione delle telecamere e ad una limitazione delle modalità di ripresa delle immagini (memo-
rizzazione, conservazione, angolo visuale delle telecamere e limitazione della possibilità di
ingrandimento dell’immagine); inoltre, occorre un’attenta riflessione sul livello di dettaglio della
ripresa dei tratti somatici e sulla necessità che siano evitate riprese di persone presso gli
impianti volti unicamente a prevenire le violazioni del codice della strada.
• Garante 17 febbraio 2000, in Bollettino n. 11/12, pag. 73 (v. anche www.garanteprivacy.it: doc. n. 40041)
• Garante 7 marzo 2000, in Bollettino n. 11/12, pag. 76 (v. anche www.garanteprivacy.it: doc. n. 30987)

La legge n. 675/1996 è applicabile anche ai trattamenti di immagini effettuati attraverso


sistemi di videosorveglianza, a prescindere dalla circostanza che le informazioni siano registrate
in un archivio elettronico o comunicate a terzi dopo il temporaneo monitoraggio in un circuito di
controllo.
• Garante 17 febbraio 2000, in Bollettino n. 11/12, pag. 73 (v. anche www.garanteprivacy.it: doc. n. 40041)
• Garante 7 marzo 2000, in Bollettino n. 11/12, pag. 76 (v. anche www.garanteprivacy.it: doc. n. 30987)

Ai sensi dell’art. 27 della legge n. 675/1996, le finalità cui è preordinata l’installazione, da


parte di un comune, di impianti di videosorveglianza debbono rispondere alle funzioni istituzio-
nali demandate all’ente dalla legge n. 142/1990, dal d.P.R. n. 616/1977, dalla legge n. 65/1986
(sull’ordinamento della polizia municipale), nonché dagli statuti e dai regolamenti comunali.
• Garante 17 febbraio 2000, in Bollettino n. 11/12, pag. 73 (v. anche www.garanteprivacy.it: doc. n. 40041)
• Garante 7 marzo 2000, in Bollettino n. 11/12, pag. 76 (v. anche www.garanteprivacy.it: doc. n. 30987)

Per i comuni interessati all’installazione ed all’esercizio di impianti per la rilevazione degli


accessi dei veicoli ai centri storici e alle zone a traffico limitato, la disciplina regolamentare intro-
dotta con d.P.R. n. 250/1999 prevede, tra l’altro, l’obbligo di munirsi di un’autorizzazione rila-
sciata dal Ministero del lavori pubblici - Ispettorato generale per la circolazione e la sicurezza
stradale. In particolare, tale regolamento stabilisce che gli impianti debbono essere utilizzati per
raccogliere dati riguardanti il luogo, il tempo e l’identificazione dei veicoli che accedono ai cen-
tri storici ed alle zone a traffico limitato, rilevando immagini solamente in caso di infrazione; inol-
tre, la documentazione contenente tali immagini può essere utilizzata solo ai fini dell’applica-
zione del regolamento e dev’essere conservata solo per il periodo necessario alla contestazione
dell’infrazione, all’applicazione della sanzione ed alla definizione dell’eventuale contenzioso,
salvo l’eventuale ulteriore impiego dei dati per esclusive finalità di polizia giudiziaria o di inda-
gine penale.
• Garante 7 marzo 2000, in Bollettino n. 11/12, pag. 76 (v. anche www.garanteprivacy.it: doc. n. 30987)

SETTORI DI ATTIVITÀ> VIDEOSORVEGLIANZA 105


Le regole della disciplina sul trattamento dei dati personali poste dalla legge n. 675/1996
sono applicabili anche alle immagini ed ai suoni, qualora le apparecchiature che li rilevano per-
mettano di identificare, in modo diretto o indiretto, i soggetti interessati.
• Garante 29 novembre 2000, in Bollettino n. 14/15, pag. 28 (v. anche www.garanteprivacy.it: doc. n. 31019)

Gli impianti di videosorveglianza finalizzati esclusivamente alla sicurezza individuale (ad


esempio, il controllo dell’accesso alla propria abitazione) non rientrano nell’ambito di applica-
zione della legge n. 675/1996, ricorrendo le condizioni di cui all’art. 3. Occorre, però, che le
riprese siano strettamente limitate allo spazio antistante tali accessi, senza forme di videosor-
veglianza su aree circostanti e senza limitazioni delle libertà altrui. Occorre, inoltre, che le infor-
mazioni raccolte non siano in alcun modo comunicate o diffuse.
• Garante 29 novembre 2000, in Bollettino n. 14/15, pag. 28 (v. anche www.garanteprivacy.it: doc. n. 31019)

Deve essere disposto il divieto del trattamento dei dati raccolti con un rilevatore di
impronte digitali (nella specie associato alle immagini riprese da un sistema video) posto all’in-
gresso di un istituto di credito, ove non giustificato da elementi che evidenzino una concreta
situazione di rischio. Un’attività indifferenziata di raccolta di dati significativi, quali le impronte
associate alle immagini, imposta a tutti coloro che entrano nella banca, non può ritenersi di per
sé legittimata da un’esigenza generica di sicurezza, traducendosi in un sacrificio sproporzionato
della sfera di libertà di tutte le persone interessate che possono legittimamente lamentare anche
una considerazione non adeguata e un rilevante pregiudizio della propria dignità personale.
• Garante 11 dicembre 2000, in Bollettino n. 14/15, pag. 30 (v. anche www.garanteprivacy.it: doc. n. 30903)

Attraverso l’informativa prevista dall’art. 10 della legge n. 675/1996 tutte le persone inte-
ressate devono essere messe a conoscenza dell’uso di telecamere che riprendono il luogo dove
le stesse si trovano o intendono recarsi (fattispecie relativa all’istallazione di un sistema di video-
sorveglianza all’ingresso dei locali di una banca).
• Garante 11 dicembre 2000, in Bollettino n. 14/15, pag. 30 (v. anche www.garanteprivacy.it: doc. n. 30903)

Rientra tra i compiti del Garante l’instaurazione di un procedimento ai sensi dell’art. 31,
comma 1, lett. c), della legge n. 675/1996 al fine del controllo della liceità del trattamento dei dati
personali (finalità e modalità del trattamento, consultazione dei dati, comunicazione a terzi, con-
servazione e distruzione) operato da un istituto bancario attraverso la raccolta delle impronte
digitali e dell’immagine del volto dei clienti all’ingresso dei locali della banca.
• Garante 28 febbraio 2001, in Bollettino n. 17, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 40181)

106 Massimario 1997/2001 • Privati ed enti pubblici economici


Costituiscono dati personali ai sensi dell’art. 1, comma 2, lett. c), della legge n. 675/1996
le impronte digitali e l’immagine del volto dei clienti di un istituto di credito raccolti all’entrata
della banca attraverso un apposito dispositivo elettronico (chiamato biodigit).
• Garante 28 febbraio 2001, in Bollettino n. 17, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 40181)

La rilevazione dei dati biometrici (nel caso di specie impronte digitali associate ad imma-
gini del volto) di coloro che accedono ai locali di una banca, ove formalmente giustificata dalla
mera affermazione di una generica ed indimostrata esigenza di sicurezza, non suffragata da
specifici elementi di rischio, si pone in contrasto con il principio di proporzionalità di cui
all’art. 9 della legge n. 675/1996. Ne consegue che il trattamento dei dati raccolti con detto
sistema di rilevamento è illecito, traducendosi in un sacrificio sproporzionato della sfera di
libertà dei singoli interessati.
• Garante 7 marzo 2001, in Bollettino n. 18, pag. 42 (v. anche www.garanteprivacy.it: doc. n. 30947)

Non violano le disposizioni sulla protezione dei dati personali (in particolare, le prescri-
zioni impartite dal Garante con il Provvedimento generale del 29 novembre 2000) sistemi ed
apparecchiature di ripresa dislocate su spiagge – a fini promozionali, pubblicitari o di informa-
zione agli utenti – che, in ragione della distanza dal luogo ripreso o di altre caratteristiche tecni-
che, non consentano di identificare, anche indirettamente, gli interessati.
• Garante 14 giugno 2001, in Bollettino n. 21, pag. 43 (v. anche www.garanteprivacy.it: doc. n. 41782)

L’accesso degli interessati, debitamente informati ex art. 10 della legge n. 675/1996, agli
sportelli bancari tramite i sistemi di rilevazione biometrica deve avvenire su base volontaria e
consensuale, previo abbinamento di detti sistemi ai comuni dispositivi d’ingresso già installati;
la possibilità di tale rilevazione – che, con riferimento alle impronte digitali, non deve dar luogo
ad alcuna “schedatura” da parte degli istituti di credito – non può autorizzare l’adozione di
comportamenti vessatori nei confronti di coloro che non ritengano di acconsentire alla rileva-
zione dell’impronta, con la conseguenza che, in caso d’indisponibilità a sottostare alle rileva-
zioni dei dati biometrici, all’utente deve essere comunque garantita la facoltà di accesso alla
banca, previa adozione di misure di cautela rimesse alla ragionevole valutazione del responsa-
bile della filiale.
• Garante 28 settembre 2001, in Bollettino n. 22, pag. 82 (v. anche www.garanteprivacy.it: doc. n. 39704)

Le immagini di una persona acquisite con un impianto di videosorveglianza costituiscono


dati personali ai sensi dell’art. 1, comma 2, lett. c), della legge n. 675/1996, con conseguente
possibilità per l’interessato di proporre l’istanza di cui all’art. 13 della legge nei confronti del tito-
lare o del responsabile del trattamento.
• Garante 19 dicembre 2001, in Bollettino n. 23, pag. 40 (v. anche www.garanteprivacy.it: doc. n. 40085)

SETTORI DI ATTIVITÀ> VIDEOSORVEGLIANZA 107


Operazioni di trattamento dei dati
AVVERTENZA
• QUANTO AI DATI SENSIBILI, V. : CATEGORIE E REQUISITI DEI DATI PERSONALI > DATI SENSIBILI (P. 12)
• QUANTO AI DATI SANITARI, V. : SOGGETTI PUBBLICI > SETTORI DI ATTIVITÀ > SANITÀ (P. 140)

Comunicazione e diffusione
Profili generali

Ai sensi dell’art. 12, comma 1, lett. b) della legge n. 675/1996, gli studi professionali degli
agenti di cambio non sono tenuti a richiedere ai propri clienti il consenso per l’uso professionale dei
dati personali, trattandosi di trattamento necessario per l’esecuzione di obblighi derivanti da un
contratto di cui, peraltro, sono parte gli stessi interessati. Qualora, invece, detto trattamento si con-
cretizzi in una comunicazione o in una diffusione a terzi dei dati personali, l’acquisizione del con-
senso dell’interessato è dovuta, sempre che non ricorrano i presupposti di cui all’art. 20, comma 1,
lett. e) della legge n. 675/1996. In ogni caso permane l’obbligo di rendere un’idonea informativa.
• Garante 22 luglio 1997, in Bollettino n. 1, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 39656)

Ai sensi dell’art. 20, comma 1, lett. c) della legge n. 675/1996, la comunicazione e la diffu-
sione dei dati personali da parte di privati alle pubbliche amministrazioni possono essere effet-
tuate senza il consenso dell’interessato qualora il trattamento avvenga nell’adempimento di un
obbligo previsto da una disposizione di legge, da una norma comunitaria o da un regolamento.
• Garante 18 febbraio 1998, in Bollettino n. 3, pag. 49 (v. anche www.garanteprivacy.it: doc. n. 40719)

La legge n. 225/1992, istitutiva del Servizio nazionale di protezione civile, all’art. 6,


comma 3, prevede, in via generale, l’obbligo per le amministrazioni, gli enti, le istituzioni e le
imprese pubbliche e private, che detengano o gestiscano archivi contenenti informazioni utili al
Servizio stesso, di comunicare tutte le informazioni loro richieste dal Dipartimento della prote-
zione civile, con l’unico limite dei dati coperti dal segreto di Stato e delle informazioni attinenti
all’ordine pubblico, alla sicurezza pubblica ed alla repressione dei reati. Ne consegue che, ai
sensi dell’art. 20, comma 1, lett. c) della legge n. 675/1996, la società affidataria della gestione
dei velivoli Canadair, utilizzati nella lotta agli incendi boschivi, è obbligata a comunicare al
Dipartimento della Protezione civile, che ne abbia fatto richiesta a scopo di verifica, i nominativi
dei piloti impiegati in detto servizio in un determinato periodo di tempo, senza che si renda
necessaria la preventiva acquisizione del consenso degli interessati. L’esistenza di siffatto
obbligo di comunicazione per la società affidataria può essere, altresì, desunta dalle disposi-
zioni regolamentari del d.P.R. n. 51/1993 (in particolare l’art. 5, commi 3 e 7) che, in attuazione

108 Massimario 1997/2001 • Privati ed enti pubblici economici


dell’art. 20 della suddetta legge, disciplina l’esercizio del potere ispettivo presso il Servizio
nazionale di protezione civile.
• Garante 18 febbraio 1998, in Bollettino n. 3, pag. 49 (v. anche www.garanteprivacy.it: doc. n. 40719)

Ai sensi dell’art. 20, comma 1, lett. c) della legge n. 675/1996, la comunicazione e la diffu-
sione dei dati personali da parte di privati e di enti pubblici economici può prescindere dal pre-
ventivo consenso dell’interessato nel caso in cui il trattamento sia effettuato in adempimento di
un obbligo previsto dalla legge, da un regolamento o da una norma comunitaria.
• Garante 29 maggio 1998, in Bollettino n. 4, pag. 9 (v. anche www.garanteprivacy.it: doc. n. 42144)

Il termine “diffusione”, dopo l’entrata in vigore della legge n. 675/1996, implica il riferi-
mento ad un numero indeterminato di persone, non la comunicazione a singoli soggetti.
• Garante 12 ottobre 1998, in Bollettino n. 6, pag. 110 (v. anche www.garanteprivacy.it: doc. n. 39680)

La richiesta di un consorzio di carattere nazionale alle associazioni di categoria affiliate di


fornire gli elenchi dei nominativi dei rispettivi iscritti, provenendo da soggetto avente natura pri-
vata, comporta una comunicazione di dati personali a terzi che, in difetto di una disposizione nor-
mativa che la autorizzi, ai sensi dell’art. 20, comma 1 della legge n. 675/1996 è ammessa solo
con il consenso espresso degli interessati (fattispecie relativa alla richiesta indirizzata dal
Consorzio nazionale imballaggi alle associazioni di categoria dei produttori).
• Garante 26 ottobre 1998, in Bollettino n. 6, pag. 122 (v. anche www.garanteprivacy.it: doc. n. 42034)

La legge n. 675/1996 non ha introdotto alcun divieto nei confronti del c.d. “benefondi”
(consistente nell’accertamento, anche informale, attraverso il quale viene garantita l’esistenza,
presso una banca o una sede o filiale della stessa, della provvista corrispondente agli assegni
emessi). Il benefondi, infatti, è certamente riconducibile alle attività che la banca deve descri-
vere, sia pure in termini generali, nei modelli di informativa e di acquisizione del consenso, che
debbono comprendere le operazioni di comunicazione dei dati a terzi ed i trattamenti tempora-
nei che questi ultimi sono tenuti ad effettuare per la corretta esecuzione dei servizi richiesti.
• Garante 30 novembre 1998, in Bollettino n. 6, pag. 85 (v. anche www.garanteprivacy.it: doc. n. 39416)

La predisposizione di una “rassegna stampa” a fini d’informazione endoaziendale costi-


tuisce un trattamento di dati che, sostanziandosi nella sola collezione (raccolta, consultazione
e conservazione) di articoli di stampa e di estratti di agenzie, può essere annoverato tra quelli
che non richiedono il consenso degli interessati, in quanto effettuati da giornalisti professio-
nisti o pubblicisti o, comunque, finalizzati alla pubblicazione occasionale di articoli, saggi ed

OPERAZIONI DI TRATTAMENTO DEI DATI > COMUNICAZIONE E DIFFUSIONE 109


PROFILI GENERALI
altre manifestazioni del pensiero. Pertanto, trattasi di trattamenti che non necessitano di
alcuna autorizzazione da parte del Garante, nei cui confronti trovano applicazione gli artt. 12,
comma 1, lett. e), 20 comma 1, lett. d) e 25 della legge n. 675/1996, come rispettivamente inte-
grati dal d.lg. n. 171/1998.
• Garante 14 gennaio 1999, in Bollettino n. 7, pag. 30 (v. anche www.garanteprivacy.it: doc. n. 40257)

Ai sensi dell’art. 19 della legge n. 675/1996, l’acquisizione della conoscenza dei dati da
parte del responsabile e degli incaricati del trattamento, laddove ritualmente nominati dal tito-
lare, non costituisce “comunicazione” in senso tecnico.
• Garante 29 marzo 1999, in Bollettino n. 8, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 40161)

Alle richieste avanzate da pubbliche autorità per finalità istituzionali, ove non riconducibili
alle funzioni indicate nell’art. 4 della legge n. 675/1996, si applica la disciplina generale prevista
per i flussi informativi fra soggetti pubblici e privati (art. 27 e 20 della legge).
• Garante 6 ottobre 1999, in Bollettino n. 10, pag. 69 (v. anche www.garanteprivacy.it: doc. n. 41762)

La pubblicazione di dati personali in una bacheca situata all’interno di un consorzio, ma in


luogo accessibile facilmente da chiunque, deve essere considerata “diffusione” di dati personali,
secondo l’accezione offerta dall’art. 1, comma 2, lett. h), della legge n. 675/1996, che necessita,
ai sensi dell’art. 10 della legge, di una previa informativa agli interessati, onde permettere loro
una consapevole manifestazione di volontà diretta a consentire, o meno, tale trattamento (fatti-
specie nella quale il Garante ha segnalato al consorzio la necessità di astenersi dall’affiggere
nella bacheca, in difetto della previa informativa e della prestazione del relativo consenso, un
prospetto contabile riguardante la situazione debitoria dei consorziati).
• Garante 6 dicembre 2000, in Bollettino n. 14/15, pag. 14 (v. anche www.garanteprivacy.it: doc. n. 38957)

Fuori dei casi di operazioni di comunicazione connesse a prestazioni richieste, a servizi


erogati o all’adempimento di obblighi normativi posti in favore di soggetti pubblici, gli istituti di
credito ed il relativo personale devono mantenere il riserbo sulle informazioni relative ai propri
clienti, astenendosi dalla divulgazione a terzi. Inoltre, secondo la legge n. 675/1996, il titolare
del trattamento, ai fini del corretto esercizio della facoltà di cui all’art. 20, comma 1, lett. g) della
legge, oltre a valutare l’effettiva necessità della comunicazione dei dati per la difesa di un diritto
in sede giudiziaria, è tenuto a verificare che la natura dei dati, il contesto in cui essi sono trat-
tati e, in particolare, il rapporto giuridico intercorrente con l’interessato, per disposto di legge o
di contratto non siano d’ostacolo all’esercizio di tale facoltà. Pertanto, sussistendo nei rapporti
delle banche con la clientela l’obbligo di mantenere il riserbo sulle operazioni, sui conti e sulle
posizioni degli utenti (c.d. segreto bancario), in assenza del consenso dell’interessato deve rite-
nersi illecita la comunicazione dei dati personali di un cliente effettuata da un dipendente del-

110 Massimario 1997/2001 • Privati ed enti pubblici economici


l’istituto in favore del difensore di un terzo (nel caso di specie il coniuge divorziato del ricor-
rente), perché contraria non solo ai principi di liceità e correttezza del trattamento fissati dal-
l’art. 9 della legge n. 675/1996, ma anche agli specifici obblighi nascenti dal rapporto contrat-
tuale (artt. 1175 e 1375 c.c.).
• Garante 23 maggio 2001, in Bollettino n. 20, pag. 30 (v. anche www.garanteprivacy.it: doc. n. 39821)

Casi particolari

Aziende speciali

Le aziende speciali esercenti servizi pubblici, quali enti strumentali del Comune per la
gestione dei servizi dell’ente locale (art. 23, comma 6 della legge n. 142/1990), essendo assog-
gettate, in quanto enti pubblici economici, al regime che la legge n. 675/1996 prevede per i sog-
getti privati che trattano dati personali, sono tenute all’osservanza, fra l’altro, della disposi-
zione dell’art. 20, comma 1, lett. c), che esime tali soggetti dall’obbligo di richiedere il consenso
dell’interessato nel caso in cui il trattamento sia effettuato per adempiere ad una disposizione
contenuta in una legge, in una norma comunitaria o in un regolamento. Si configura, quindi,
come obbligo di tali aziende quello di comunicare ai consiglieri comunali i dati che questi richie-
dano, al fine dell’espletamento del loro mandato, nell’esercizio del generale diritto di accesso,
loro conferito dall’art. 31, comma 5 della legge n. 142/1990, ai dati contenuti negli archivi del
comune e delle aziende ed enti da questo dipendenti (fattispecie relativa alla richiesta di un
consigliere comunale di conoscere i nominativi dei dipendenti dell’azienda preposti alle sedi
territoriali della stessa).
• Garante 10 giugno 1998, in Bollettino n. 5, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 39348)

Le aziende speciali istituite ai sensi dell’art. 23 della legge n. 142/1990, avendo natura giuri-
dica di enti pubblici economici, sono soggette alla disciplina che la legge n. 675/1996 prevede per
i soggetti privati, che consente la comunicazione dei dati personali solo in presenza del consenso
dell’interessato o di uno dei presupposti, ad esso equipollenti, indicati dall’art. 20, comma 1,
lett. c) e g) (fattispecie relativa alla comunicazione al proprietario di un immobile dei dati riguar-
danti l’intestatario delle utenze ad esso relative).
• Garante 26 ottobre 1998, in Bollettino n. 6, pag. 126 (v. anche www.garanteprivacy.it: doc. n. 39500)

Cassa italiana di previdenza ed assistenza dei geometri

Poiché la comunicazione e diffusione dei dati personali da parte di un soggetto privato o di


un ente pubblico economico possono avvenire, tra l’altro, in adempimento di un obbligo previ-
sto dalla legge, da un regolamento o dalla normativa comunitaria (art. 20, comma 1, lett. c) della
legge n. 675/1996), devono ritenersi conformi a tale disciplina le comunicazioni effettuate dalla

OPERAZIONI DI TRATTAMENTO DEI DATI > COMUNICAZIONE E DIFFUSIONE 111


CASI PARTICOLARI > AZIENDE SPECIALI
Cassa Italiana di previdenza ed assistenza dei geometri ai singoli Collegi professionali dei dati
relativi agli iscritti ai Collegi stessi, in quanto previste dal regolamento di attuazione dell’art. 17,
comma 11 della legge n. 773/1982 (legge di riforma della Cassa predetta).
• Garante 26 ottobre 1998, in Bollettino n. 6, pag. 123 (v. anche www.garanteprivacy.it: doc. n. 42268)

Concessionari di servizi telefonici


v. : T ELECOMUNICAZIONI E RETI TELEMATICHE > C ASI PARTICOLARI > CONCESSIONARI DI SERVIZI
TELEFONICI (P. 191)

Condominio negli uffici

Gli estremi identificativi delle utenze telefoniche intestate ai singoli condòmini o ai loro fami-
liari non possono essere annoverati tra quelli oggetto di necessaria ed obbligatoria comunicazione
all’interno del condominio, in quanto non rappresentano elementi utili a determinare i diritti o gli
oneri sulla cosa comune, né è rinvenibile alcun obbligo di legge in tal senso. Resta, peraltro, ferma
la possibilità per l’amministratore di condominio di comunicare i numeri di telefono ai condòmini
richiedenti, con il consenso degli interessati (art. 11 della legge n. 675/1996).
• Garante 19 maggio 2000, in Bollettino n. 13, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 42268)

E.n.e.l.

Poiché sia la normativa attualmente in vigore sui controlli termici (legge n. 10/1991;
d.P.R. n. 412/1993), sia la normativa generale in tema di accertamento delle violazioni ammini-
strative (art. 13 della legge n. 689/1981) non prevedono l’insorgenza, a carico dell’E.n.e.l. s.p.a., di
un obbligo di comunicazione dei dati degli utenti ove richiesti dalla provincia nell’esercizio dei
poteri di controllo ad essa legalmente attribuiti, allo stato non può trovare applicazione il disposto
di cui all’art. 20, comma 1, lett. c) della legge n. 675/1996, che consente ai soggetti privati ed agli
enti pubblici economici di comunicare dati soltanto “in adempimento di un obbligo previsto dalla
legge, da un regolamento o dalla normativa comunitaria”. Ne consegue che l’E.n.e.l., ove destina-
tario di specifiche richieste formulate dalla Provincia o, eventualmente, da società con essa con-
venzionate e ritualmente designate quali “responsabili del trattamento”, ai fini della comunica-
zione dei dati non può prescindere dal rilascio del consenso da parte dei singoli utenti interessati.
• Garante 5 febbraio 1998, in Bollettino n. 3, pag. 38 (v. anche www.garanteprivacy.it: doc. n. 39097)

Trattamento per fini personali


Gli impianti di videosorveglianza finalizzati esclusivamente alla sicurezza individuale (ad
esempio, il controllo dell’accesso alla propria abitazione) non rientrano nell’ambito di applica-

112 Massimario 1997/2001 • Privati ed enti pubblici economici


zione della legge n. 675/1996, ricorrendo le condizioni di cui all’art. 3. Occorre, però, che le
riprese siano strettamente limitate allo spazio antistante tali accessi, senza forme di videosor-
veglianza su aree circostanti e senza limitazioni delle libertà altrui. Occorre, inoltre, che le infor-
mazioni raccolte non siano in alcun modo comunicate o diffuse.
• Garante 29 novembre 2000, in Bollettino n. 14/15, pag. 28 (v. anche www.garanteprivacy.it: doc. n. 31019)

Rientrano tra i trattamenti di dati operati da persone fisiche per fini esclusivamente perso-
nali, ai sensi dell’art. 3 della legge n. 675/1996, e non sono quindi soggette all’ambito di appli-
cazione della legge, le fotografie (che possono anch’esse contenere dati personali) della parte
esterna di una abitazione scattate per essere utilizzate nell’ambito di una controversia condomi-
niale, ove non destinate ad una comunicazione sistematica o alla diffusione.

• Garante 4 gennaio 2001, in Bollettino n. 16, pag. 23 (v. anche www.garanteprivacy.it: doc. n. 41119)

Trasferimento dei dati all’estero

Stati Uniti d’America


Sulla base di quanto previsto dall’art. 25, paragrafi 1, 2 e 6 della Direttiva n. 95/46/CE del
Parlamento europeo e del Consiglio del 24 ottobre 1995, nonché di quanto già constatato dalla
Commissione europea con la decisione del 26 luglio 2000 n. 2000/520/CE (secondo cui gli
allegati Principi di approdo sicuro in materia di “riservatezza”, applicati in conformità agli
orientamenti forniti da talune “Domande più frequenti” (FAQ), garantiscono un livello ade-
guato di protezione dei dati personali trasferiti dalla Comunità ad organizzazioni aventi sede
negli Stati Uniti sulla base della documentazione pubblicata dal Dipartimento del commercio
statunitense), il Garante, in sede di adozione delle misure necessarie per l’applicazione di
detta decisione (art. 25, paragrafo 6 della Direttiva 95/46/CE) ed in conformità di quanto già
previsto nell’ordinamento italiano dall’art. 28 della legge n. 675/1996, ha autorizzato il trasfe-
rimento dei dati personali dal territorio dello Stato italiano verso gli Stati Uniti. Il Garante, nel-
l’occasione, ai sensi degli artt. 2 e 3 della decisione 2000/520/CE della Commissione Europea
ed alla FAQ n. 5 (concernente il ruolo che le autorità di garanzia degli stati membri dovrebbero
svolgere con la cooperazione delle organizzazioni statunitensi che ricevono dati personali
dall’Unione europea), si è altresì riservato la facoltà di svolgere i necessari controlli sulla liceità
e correttezza dei trasferimenti di dati e sulle connesse operazioni di trattamento e sul rispetto
dei predetti Principi, nonché di adottare eventuali provvedimenti di blocco o di divieto di tra-
sferimento.
• Garante 10 ottobre 2001, in Bollettino n. 23, pag. 146 (v. anche www.garanteprivacy.it: doc. n. 30939)

TRASFERIMENTO DEI DATI ALL’ESTERO > STATI UNITI D’AMERICA > 113
Svizzera
Sulla base di quanto previsto dall’art. 25, paragrafi 1, 2 e 6 della Direttiva n. 95/46/CE del
Parlamento europeo e del Consiglio del 24 ottobre 1995, nonché di quanto già constatato dalla
Commissione europea con la decisione del 26 luglio 2000 n. 2000/518/CE (secondo cui la
Svizzera garantisce un livello adeguato di protezione dei dati personali trasferiti dall’Unione
europea), il Garante, in sede di adozione delle misure necessarie per l’applicazione di detta deci-
sione (art. 25, paragrafo 6 della Direttiva 95/46/CE) ed in conformità di quanto già previsto nel-
l’ordinamento italiano dall’art. 28 della legge n. 675/1996, ha autorizzato il trasferimento dei
dati personali dal territorio dello Stato italiano verso la Svizzera. Il Garante, nell’occasione, ai
sensi degli artt. 2 e 3 della decisione 2000/518/CE della Commissione europea, si è altresì riser-
vato la facoltà di svolgere i necessari controlli sulla liceità e correttezza dei trasferimenti di dati
e sulle connesse operazioni di trattamento, nonché di adottare eventuali provvedimenti di blocco
o di divieto di trasferimento.
• Garante 17 ottobre 2001, in Bollettino n. 23, pag. 148 (v. anche www.garanteprivacy.it: doc. n. 39428)

Ungheria
Sulla base di quanto previsto dall’art. 25, paragrafi 1, 2 e 6 della Direttiva n. 95/46/CE del
Parlamento europeo e del Consiglio del 24 ottobre 1995, nonché di quanto già constatato dalla
Commissione europea con la decisione del 26 luglio 2000 n. 2000/519/CE (secondo cui
l’Ungheria garantisce un livello adeguato di protezione dei dati personali trasferiti dall’Unione
europea), il Garante, in sede di adozione delle misure necessarie per l’applicazione di detta deci-
sione (art. 25, paragr. 6 della Direttiva 95/46/CE) ed in conformità di quanto già previsto nell’or-
dinamento italiano dall’art. 28 della legge n. 675/1996, ha autorizzato il trasferimento dei dati
personali dal territorio dello Stato italiano verso l’Ungheria. Il Garante, nell’occasione, ai sensi
degli artt. 2 e 3 della decisione 2000/519/CE della Commissione europea, si è altresì riservato la
facoltà di svolgere i necessari controlli sulla liceità e correttezza dei trasferimenti di dati e sulle
connesse operazioni di trattamento, nonché di adottare eventuali provvedimenti di blocco o di
divieto di trasferimento.
• Garante 17 ottobre 2001, in Bollettino n. 23, pag. 150 (v. anche www.garanteprivacy.it: doc. n. 41039)

Paesi che non garantiscono un adeguato livello di protezione


Sulla base di quanto previsto dagli artt. 25 e 26 della Direttiva n. 95/46/CE del Parlamento
europeo e del Consiglio del 24 ottobre 1995 (secondo cui uno stato membro può autorizzare tra-
sferimenti di dati personali verso un paese terzo anche qualora questi non garantisca un ade-
guato livello di protezione, purché il titolare del trattamento (importatore) presenti sufficienti

114 Massimario 1997/2001 • Privati ed enti pubblici economici


garanzie, risultanti da appropriate clausole contrattuali), nonché di quanto già affermato dalla
Commissione europea con la decisione del 15 giugno 2001 n. 2001/497/CE (che ha riconosciuto
l’adeguatezza di alcune clausole contrattuali tipo per la tutela dei diritti e delle libertà fonda-
mentali delle persone, nonché per l’esercizio dei diritti connessi, in caso di trasferimenti di dati
verso paesi terzi), il Garante, in sede di adozione delle misure necessarie per l’applicazione di
detta decisione ed in conformità a quanto già previsto nell’ordinamento italiano dall’art. 28 della
legge n. 675/1996, ha autorizzato, con effetto dal 3 settembre 2001, il trasferimento dei dati per-
sonali dal territorio dello Stato italiano verso paesi non appartenenti all’Unione europea, qualora
siano effettuati sulla base e in conformità alle clausole contrattuali tipo allegate alla suindicata
decisione n. 2001/497/CE e purché siano rispettati alcuni presupposti specificamente indicati;
inoltre, il Garante, in conformità alla legge n. 675/1996 ed alla normativa comunitaria, si è altresì
riservato la facoltà di svolgere i necessari controlli e di adottare eventuali provvedimenti di
blocco o di divieto di trasferimento.
• Garante 10 ottobre 2001, in Bollettino n. 23, pag. 152 (v. anche www.garanteprivacy.it: doc. n. 42156)

TRASFERIMENTO DEI DATI ALL’ESTERO > PAESI CHE NON GARANTISCONO UN ADEGUATO LIVELLO DI PROTEZIONE 115
Soggetti
pubblici

• Profili generali

• Settori di attività

• Operazioni di trattamento dei dati

• Trattamenti particolari

• Natura pubblica dei soggetti

• Regimi particolari di pubblicità degli atti

• Consultazione del Garante da parte


delle pubbliche amministrazioni
Profili generali
Ai sensi dell’art. 16 della legge n. 675/1996, si ha “cessazione del trattamento” quando il
titolare, anche se ente pubblico, intenda, per qualsiasi causa, interrompere in via definitiva l’in-
tero complesso di operazioni concernenti un determinato trattamento di dati personali. Ne con-
segue che l’effettuazione di uno scarto d’archivio non corrisponde, di per sé, ad un’effettiva e
completa cessazione del trattamento di dati connesso alle attività istituzionali dell’amministra-
zione, integrando soltanto una parziale eliminazione, attraverso la distruzione di documenti o
fascicoli, di quelle informazioni personali la cui conservazione sia ormai ritenuta inutile ai fini
amministrativi e storici.
• Garante 14 maggio 1998, in Bollettino n. 4, pag. 18 (v. anche www.garanteprivacy.it: doc. n. 40053)

Un soggetto pubblico – nella specie, un comune – può ricorrere ad analisi statistiche, a


questionari e a valutazioni attitudinali dei dipendenti, che presuppongono la raccolta di dati per-
sonali, qualora ciò sia necessario per perseguire le proprie finalità istituzionali, nel rispetto,
peraltro, dei limiti posti da norme di legge e di regolamento, tra i quali vanno ricompresi quelli
previsti dalla legge n. 675/1996 e dalla legge n. 300/1970.
• Garante 1 luglio 1998, in Bollettino n. 5, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 42332)

Nei “test attitudinali” sottoposti da un Comune ai propri dipendenti, al fine della


migliore utilizzazione del personale, non possono essere contenuti quesiti attraverso i quali i
lavoratori esprimano in forma non anonima giudizi di valore riferiti alle complessive finalità
dell’ente comunale, nonché alle linee concrete dell’azione politico-amministrativa dell’ente e
dei suoi dirigenti. I dati così acquisiti, infatti, risultano in contrasto sia con il principio di per-
tinenza rispetto alle finalità della raccolta sancito dall’art. 9, comma 1, lett. c) della legge
n. 675/1996, attesa la loro assai dubbia rilevanza ai fini della valutazione dell’attitudine pro-
fessionale dei dipendenti, sia con l’art. 27, comma 1 della stessa legge, il quale stabilisce che
i soggetti pubblici possono procedere al trattamento dei dati personali solo per lo svolgi-
mento delle finalità istituzionali, nei limiti stabiliti dalla legge e dei regolamenti, in quanto
l’art. 8 della legge n. 300/1970 fa divieto al datore di lavoro di svolgere indagini sulle opinioni
politico-sindacali dei lavoratori.
• Garante 1 luglio 1998, in Bollettino n. 5, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 42332)

Ove il privato, che collabori con il soggetto pubblico e che svolga compiti che comportino
anche attività di trattamento di dati personali, operi nell’ambito di un’attività che ricade nella
sfera di titolarità e responsabilità dell’amministrazione, quest’ultima, quale titolare del tratta-
mento dei dati, deve indicare, con atto scritto, il soggetto che svolga l’eventuale ruolo del
“responsabile” del trattamento svolto per suo conto dal privato (art. 8 della legge n. 675/1996),

PROFILI GENERALI 119


da individuarsi nella stessa struttura esterna cui è affidata l’attività, o in un dipendente di que-
sta, oppure in un ufficio o dipendente dell’amministrazione. In ogni caso, è necessario che i
dipendenti della struttura privata operino in qualità di “incaricati del trattamento”, sotto la
diretta sorveglianza e secondo le istruzioni del titolare/soggetto pubblico e del responsabile
(artt. 8, comma 5, e 19 della legge n. 675/1996) (fattispecie attinente al trattamento dei dati per-
sonali svolto da società incaricate da amministrazioni comunali di effettuare misurazioni presso
abitazioni private, con autonomia limitata alla sola concreta disciplina del servizio e ad alcune
scelte tecnico-operative, al fine dell’accertamento della tassa di smaltimento dei rifiuti solidi
urbani, disciplinata dal d.lg. n. 507/1993).
• Garante 29 luglio 1998, in Bollettino n. 5, pag. 54 (v. anche www.garanteprivacy.it: doc. n. 31023)

Nello svolgimento dei propri compiti istituzionali, i soggetti pubblici possono ricorrere
alla collaborazione di privati, cui affidare determinate attività anche attraverso concessioni,
appalti o convenzioni. In tali ipotesi, con riferimento alla problematica relativa al trattamento
dei dati personali, il privato può assumere il ruolo di collaboratore esterno del soggetto pub-
blico, che coadiuva l’amministrazione trattando i dati anche al di fuori della relativa struttura,
ma nell’ambito di un’attività che ricade nella sfera di titolarità e responsabilità dell’ammini-
strazione, la quale conserva la qualità di titolare del trattamento, oppure può rivestire una
figura del tutto distinta da questa, che decide autonomamente in ordine al trattamento delle
informazioni ed assume le relative responsabilità, assumendo esso stesso la veste di titolare
del trattamento. Nel primo caso, il privato è parte sostanziale della struttura pubblica e rimane
quindi soggetto alla disciplina che la legge n. 675/1996 detta per i soggetti pubblici, nel
secondo esso va considerato soggetto autonomo che tratta i dati secondo le regole previste
dalla stessa legge per i privati (fattispecie attinente al trattamento dei dati personali svolto da
società incaricate da amministrazioni comunali di effettuare misurazioni presso abitazioni pri-
vate al fine dell’accertamento della tassa di smaltimento dei rifiuti solidi urbani, disciplinata dal
d.lg. n. 507/1993).
• Garante 29 luglio 1998, in Bollettino n. 5, pag. 54 (v. anche www.garanteprivacy.it: doc. n. 31023)

La disciplina prevista per i trattamenti dei dati da parte dei soggetti pubblici (artt. 27 e 22,
comma 3 della legge n. 675/1996) non ha alcun collegamento con la disposizione recante i casi
di esclusione del consenso di cui all’art. 12, che si applica all’attività di privati e di enti pubblici
economici.
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 78 (v. anche www.garanteprivacy.it: doc. n. 39268)

La disciplina delle modalità di utilizzo delle banche dati pubbliche da parte delle varie
amministrazioni deve essere contenuta in norme di legge o di regolamento, in conformità alle
condizioni previste dall’art. 27 della legge n. 675/1996, al fine di realizzare un trasparente
flusso di dati ispirato ad omogenei criteri che garantiscano la protezione dei dati medesimi nel

120 Massimario 1997/2001 • Soggetti pubblici


rispetto dei principi di pertinenza, completezza e non eccedenza sanciti dall’art. 9, lett. d)
della legge.
• Garante 4 marzo 1999, in Bollettino n. 8, pag. 16 (v. anche www.garanteprivacy.it: doc. n. 41187)

La disciplina introdotta dal d.lg. n. 135/1999 rende ammissibile il trattamento dei dati di
carattere giudiziario da parte delle amministrazioni pubbliche nell’ambito del rapporto di lavoro
e, in particolare, per svolgere attività dirette all’accertamento della responsabilità disciplinare
dei dipendenti (art. 9, comma 2, lett. g).
• Garante 12 luglio 1999, in Bollettino n. 9, pag. 51 (v. anche www.garanteprivacy.it: doc. n. 39660)

Ai sensi dell’art. 27 della legge n. 675/1996 nonché, per quanto riguarda i dati sensibili,
dell’art. 22 della legge e della disciplina introdotta dal d.lg. n. 135/1999, è legittimo il tratta-
mento dei dati personali effettuato dal Consiglio della provincia autonoma di Trento in relazione
alla nomina o designazione di componenti di altri organismi, di competenza diretta dello stesso
Consiglio o mediante indicazione di singoli consiglieri o di gruppi consiliari, fermo restando l’ob-
bligo del rispetto dei principi posti dalla legge n. 675/1996, in particolare in tema di informativa
all’interessato (art. 10), di misure di sicurezza (art. 15), nonché degli altri requisiti di legittimità
dei dati (art. 9).
• Garante 15 luglio 1999, in Bollettino n. 9, pag. 69 (v. anche www.garanteprivacy.it: doc. n. 30887)

L’istallazione di un sistema di videosorveglianza da parte di un soggetto pubblico è subor-


dinata all’esistenza di una fonte normativa che la legittimi e ne indichi le relative finalità, ovvero
permetta di rilevare che tale iniziativa risponde alle funzioni istituzionali demandate all’ente (fat-
tispecie relativa al progetto di realizzazione da parte di un comune di un sistema di videosorve-
glianza all’interno di una riserva marina, finalizzato al tempestivo intervento in caso di infrazioni
o di situazioni di emergenza).
• Garante 21 ottobre 1999, in Bollettino n. 10, pag. 80 (v. anche www.garanteprivacy.it: doc. n. 42288)

L’inserimento della formula del consenso al trattamento dei dati non è necessaria allorché
la compilazione del coupon sia richiesta da soggetti pubblici ovvero, ai sensi dell’art. 12, comma
1, della legge n. 675/1996, sia necessario al solo fine dell’invio di specifico materiale richiesto da
parte della società o dell’organismo che lo riceve.
• Garante 13 gennaio 2000, in Bollettino n. 11/12, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 42276)

In assenza di una formale designazione come incaricati del trattamento, i dipendenti delle
pubbliche amministrazioni che, per lo svolgimento dei propri compiti, vengono a conoscenza di

PROFILI GENERALI 121


dati personali, devono essere considerati come soggetti terzi rispetto alle amministrazioni
stesse, con conseguenti rilevanti limiti per la comunicazione e l’utilizzazione dei dati e quindi per
la liceità del trattamento. Tale designazione è, infatti, indispensabile, in quanto permette di con-
siderare legittimo il flusso delle informazioni personali nell’ambito degli uffici e tra i dipendenti
dell’amministrazione titolare del trattamento (v. art. 19 della legge n. 675/1996).
• Garante 23 maggio 2000, in Bollettino n. 13, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40229)

Come emerge anche dai lavori parlamentari di approvazione della legge n. 675/1996, tra le
attribuzioni delle regioni non rientrano compiti di disciplina, anche indiretta, della materia della
protezione dei dati personali, neanche in riferimento alle materie di competenza regionale, fermi
restando eventuali provvedimenti regionali in funzione attuativa di obblighi normativi fissati a
livello statuale, i quali trovano il loro fondamento anche in atti internazionali ratificati dall’Italia
(in particolare, nella Convenzione di Strasburgo n. 108/1981, ratificata con la legge n. 98/1989)
o nella normativa comunitaria (Direttiva n. 95/46/CE, di cui la legge n. 675/1996 costituisce par-
ziale recepimento). La materia della protezione dei dati personali riguarda infatti diritti fonda-
mentali ed inalienabili della persona umana, la cui tutela richiede un elevato livello di protezione
che deve essere garantito in conformità alla normativa statale.
• Garante 26 maggio 2000, in Bollettino n. 13, pag. 15 (v. anche www.garanteprivacy.it: doc. n. 39300)

I soggetti pubblici, ove operino nei limiti previsti dalle finalità istituzionali (art. 27 della
legge n. 675/1996), non devono richiedere l’autorizzazione o il consenso dei cittadini per il trat-
tamento dei dati personali che li riguardano, dovendo, piuttosto, informarli ai sensi dell’art. 10
della legge.
• Garante 5 dicembre 2000, in Bollettino n. 14/15, pag. 22 (v. anche www.garanteprivacy.it: doc. n. 40273)

Settori di attività

Agenzie regionali per l’impiego


Le Agenzie regionali per l’impiego istituite dalla legge n. 56/1987, in quanto soggetti
pubblici, soggiacciono alla speciale disciplina prevista dagli artt. 27 e 22, comma 3 della legge
n. 675/1996, che consentono il trattamento dei dati solo se previsto da apposite previsioni di
legge. Ne consegue che va esclusa la possibilità di rendere pubbliche le liste di mobilità in
favore di aziende o associazioni di categoria che ne facciano richiesta, in quanto la normativa
di settore (artt. 6 e ss. della legge n. 223/1991; d.lg. n. 469/1997; decreto del Ministero del
lavoro dell’8 maggio 1998, pubblicato sulla G.U. del 6 giugno 1998) prevede un obbligo di con-

122 Massimario 1997/2001 • Soggetti pubblici


nessione e di scambio dei dati solo tra soggetti specificamente individuati (Ministero del
lavoro, regioni, enti locali, imprese di fornitura di lavoro temporaneo e soggetti autorizzati alla
mediazione tra domanda e offerta di lavoro).
• Garante 12 ottobre 1998, in Bollettino n. 6, pag. 55 (v. anche www.garanteprivacy.it: doc. n. 42272)

Anagrafe dei rapporti di conto e di deposito


La creazione di una banca dati centralizzata che interessa la generalità dei cittadini, quale
quella concernente l’istituzione dell’anagrafe dei rapporti di conto e di deposito di cui all’art. 20,
comma 4 della legge n. 413/1991, presuppone un’attenta regolamentazione che deve andare
oltre l’assetto della sicurezza e dell’integrità dei dati e che deve riguardare le finalità perseguite,
i flussi di dati, l’utilizzazione ulteriore delle informazioni e l’individuazione di compiti e respon-
sabilità.
• Garante 17 novembre 1999, in Bollettino n. 10, pag. 22 (v. anche www.garanteprivacy.it: doc. n. 40561)

Archivi di Stato
La legge n. 675/1996 non ha modificato la disciplina vigente in tema di Archivi di Stato –
espressamente fatta salva all’art. 43, comma 2 della legge – e, segnatamente, il d.P.R. n. 1409/1963
e succ. modif. e integr., che prevede per gli enti pubblici la possibilità di stabilire quali docu-
menti d’archivio siano da scartare, sulla base di un apposito provvedimento da sottoporre
all’approvazione dell’autorità vigilante sull’ente, e previo nulla osta del competente sovrinten-
dente archivistico.
• Garante 14 maggio 1998, in Bollettino n. 4, pag. 18 (v. anche www.garanteprivacy.it: doc. n. 40053)

Comuni e province
La legge n. 675/1996 non ha abrogato il regime di pubblicità delle deliberazioni comu-
nali e provinciali contenuto nella legge n. 142/1990 e, per quanto concerne la regione Trentino
Alto-Adige, nella legge regionale n. 1/1993: tali normative permettono la conoscibilità pres-
socché indifferenziata di tali delibere attraverso la loro pubblicazione nei rispettivi albi pretori.
In ogni caso, rimangono fermi il divieto di diffusione dei dati idonei a rivelare lo stato di salute
(art. 23, comma 4 della legge n. 675/1996), nonché i requisiti di pertinenza e non eccedenza
dei dati (art. 9), che obbligano le amministrazioni ad operare una selezione delle informazioni
– specie sensibili – il cui inserimento sia necessario per la realizzazione delle finalità cui le sin-
gole delibere sono preordinate.
• Garante 26 ottobre 1998, in Bollettino n. 6, pag. 133 (v. anche www.garanteprivacy.it: doc. n. 30951)

SETTORI DI ATTIVITÀ > ANAGRAFE DEI RAPPORTI DI CONTO E DI DEPOSITO 123


I comuni, al pari degli altri soggetti pubblici, non devono richiedere il consenso degli inte-
ressati per poter trattare i dati inerenti alle persone fisiche o giuridiche, essendo sufficiente che
i singoli trattamenti siano riconducibili – al pari dei dati trattati – alle finalità istituzionali del-
l’ente e che siano concretamente rispettate eventuali specifiche limitazioni poste da norme spe-
ciali di riferimento.
• Garante 16 febbraio 1999, in Bollettino n. 7, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 42320)

Non contrasta con i principi di liceità e correttezza nel trattamento dei dati personali posti
dall’art. 9 della legge n. 675/1996 l’acquisizione da parte di un’amministrazione comunale della
copia di una sentenza penale emessa nei confronti dell’interessato, dipendente del Comune, al
fine di utilizzarne i dati esclusivamente per motivi inerenti allo svolgimento del procedimento
disciplinare instaurato nei confronti dello stesso dipendente.
• Garante 12 luglio 1999, in Bollettino n. 9, pag. 51 (v. anche www.garanteprivacy.it: doc. n. 39660)

Alla luce del dettato dell’art. 27 della legge n. 675/1996, che consente il trattamento dei dati
personali da parte dei soggetti pubblici soltanto per lo svolgimento delle funzioni istituzionali, nei
limiti stabiliti dalla legge e dai regolamenti, è legittimo il trattamento effettuato da un Comune in
relazione ai dati contenuti nei questionari compilati dai genitori che intendono usufruire degli asili
nido comunali, in quanto normativamente previsto dal d.lg. n. 109/1998, contenente “definizioni
di criteri unificati di valutazione della situazione economica dei soggetti che richiedono presta-
zioni sociali agevolate, a norma dell’art. 59, comma 51 della legge n. 449/1997”; resta fermo , in
ogni caso, il rispetto delle altre disposizioni della legge n. 675/1996, quali quelle concernenti la
qualità dei dati, la loro pertinenza, l’informativa agli interessati e le misure di sicurezza – artt. 9,
10 e 15 della legge – (provvedimento assunto dal Garante a seguito dell’instaurazione di un auto-
nomo procedimento ai sensi dell’art. 31, comma 1, lett. c).
• Garante 9 settembre 1999, in Bollettino n. 9, pag. 74 (v. anche www.garanteprivacy.it: doc. n. 40537)

Nessuna disposizione della legge n. 675/1996 – in specie, l’art. 9, che al comma 1, lett. d),
stabilisce il principio di pertinenza in materia di trattamento dei dati personali – impedisce in
via generale alla polizia municipale di indicare le generalità degli agenti verbalizzanti nei ver-
bali di accertamento di violazioni al Codice della strada, conformi all’originale e redatti con
sistemi meccanizzati. Tali verbali vanno compilati secondo le norme speciali che regolano i rela-
tivi modelli, contenute nel regolamento di attuazione al Codice della strada approvato con
d.P.R. n. 495/1992 – e successive modificazioni ed integrazioni –, che disciplinano direttamente
i relativi procedimenti sanzionatori amministrativi, e che non sono state abrogate o modificate
dalla legge n. 675/1996.
• Garante 6 febbraio 2001, in Bollettino n. 17, pag. 9 (v. anche www.garanteprivacy.it: doc. n. 41067)

124 Massimario 1997/2001 • Soggetti pubblici


Concessionari di pubblici servizi
• V.: PRESUPPOSTI E MODALITÀ DEL TRATTAMENTO > TITOLARE, RESPONSABILE, INCARICATO > CASI
PARTICOLARI> CONCESSIONARI DI PUBBLICI SERVIZI (P. 64)

Nell’ipotesi in cui al concessionario di un pubblico servizio sia garantita piena autonomia


decisionale in ordine al trattamento delle informazioni, con conseguente concreta assunzione a
suo carico di ogni responsabilità al riguardo, si è in presenza di una figura soggettiva del tutto
distinta dall’amministrazione concedente, che è tenuta ad operare in base alle regole dettate
dalla legge n. 675/1996 per i soggetti privati e gli enti pubblici economici.
• Garante 9 giugno 1998, in Bollettino n. 5, pag. 22 (v. anche www.garanteprivacy.it: doc. n. 40365)

Il concessionario di un pubblico servizio è collaboratore esterno del soggetto pubblico qua-


lora coadiuvi l’amministrazione, trattando dati personali anche al di fuori della relativa struttura
ma nell’ambito di un’attività che ricade nella sfera di titolarità e di responsabilità dell’ammini-
strazione stessa; in tal caso, il concessionario è parte sostanziale della struttura pubblica e sog-
giace al particolare regime previsto per le amministrazioni.
• Garante 9 giugno 1998, in Bollettino n. 5, pag. 22 (v. anche www.garanteprivacy.it: doc. n. 40365)

Nello svolgimento dei propri compiti istituzionali, ciascun soggetto pubblico può ricorrere
a privati, affidando ad essi determinate attività in concessione. In tal caso, l’amministrazione
deve precisare il ruolo assunto dal concessionario, il quale, ai sensi della legge n. 675/1996, a
seconda del concreto atteggiarsi del rapporto, può essere considerato alternativamente come
collaboratore esterno ovvero come figura soggettiva del tutto distinta dall’amministrazione.
• Garante 9 giugno 1998, in Bollettino n. 5, pag. 22 (v. anche www.garanteprivacy.it: doc. n. 40365)

Nello svolgimento dei propri compiti istituzionali, ciascun soggetto pubblico può ricorrere
a privati cui affidare determinate attività in concessione. In tale ipotesi, l’amministrazione deve
precisare il ruolo assunto dai concessionari i quali, ai sensi della legge n. 675/1996, possono
essere considerati, alternativamente, come collaboratori esterni del soggetto pubblico, qualora
coadiuvino l’amministrazione trattando dati personali anche al di fuori della relativa struttura,
ma nell’ambito di un’attività che ricade nella sfera di titolarità e di responsabilità dell’ammini-
strazione stessa, oppure come figure soggettive del tutto distinte dall’amministrazione, che
decidono autonomamente in ordine al trattamento delle informazioni e si assumono ogni rela-
tiva responsabilità. Nel primo caso, i concessionari costituiscono parte sostanziale della strut-
tura pubblica – e agli stessi è quindi applicabile il particolare regime previsto per la pubblica
amministrazione –, mentre, nel secondo, sono privati che devono operare in base alle regole det-
tate dalla legge per i soggetti privati e gli enti pubblici economici (principi affermati nell’ambito
del parere reso all’Amministrazione finanziaria sullo schema di decreto ministeriale – previsto

SETTORI DI ATTIVITÀ > CONCESSIONARI DI PUBBLICI SERVIZI 125


dall’art. 18 del d.lg. n. 112/1999 – attinente all’esercizio della facoltà di accesso agli uffici pub-
blici da parte dei concessionari della riscossione).
• Garante 16 giugno 1999, in Bollettino n. 9, pag. 19 (v. anche www.garanteprivacy.it: doc. n. 42312)

Ministero della difesa


La richiesta del documento matricolare da parte dell’ufficio del Ministero della difesa
presso il quale l’interessato, ufficiale della Marina militare, presta servizio, nonché il successivo
invio di tale documento da parte della competente Direzione generale, non danno luogo ad una
operazione di comunicazione o di diffusione di dati, trattandosi invece di un’attività di utilizzo
interno all’amministrazione militare di dati che vengono trattati da parte di organi e uffici in rela-
zione alle proprie competenze e per lo svolgimento di funzioni istituzionali.
• Garante 6 febbraio 2001, in Bollettino n. 17, pag. 30 (v. anche www.garanteprivacy.it: doc. n. 40615)

Ministero delle comunicazioni


Il Ministero delle comunicazioni è legittimato a trattare i dati personali in possesso del con-
cessionario del servizio telefonico, nello svolgimento delle funzioni istituzionali di controllo della
qualità e della regolarità del servizio, nei limiti e per gli scopi individuati dalle leggi e dai rego-
lamenti di settore (art. 27, comma 1 della legge n. 675/1996).
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 107 (v. anche www.garanteprivacy.it: doc. n. 30851)

Prefetto
La legge n. 2359/1865 sull’espropriazione per pubblica utilità, all’art. 16, ai fini dell’esatta
determinazione dei beni oggetto del provvedimento ablatorio, prevede l’indicazione di una serie
di elementi identificativi, tra cui le generalità dei proprietari dei fondi iscritti nei registri catastali;
inoltre, l’art. 72, comma 1, della stessa legge stabilisce che il Prefetto, con lo stesso decreto che
autorizza l’occupazione o con decreto successivo, determini provvisoriamente l’indennità da cor-
rispondersi ai proprietari dei beni occupati. Ne consegue che, nell’ipotesi in cui un decreto pre-
fettizio d’occupazione rechi l’indicazione di tali doverosi elementi, il correlativo trattamento di
dati è da considerarsi conforme al dettato di cui all’art. 27 della legge n. 675/1996, in quanto
effettuato da un soggetto pubblico “per lo svolgimento delle funzioni istituzionali, nei limiti sta-
biliti dalla legge e dai regolamenti.
• Garante 16 febbraio 1999, in Bollettino n. 7, pag. 51 (v. anche www.garanteprivacy.it: doc. n. 39548)

126 Massimario 1997/2001 • Soggetti pubblici


Privati incaricati del trattamento
Rivestono la qualità di “incaricati del trattamento” i privati/persone fisiche che ricevono
da un soggetto pubblico (attraverso un provvedimento amministrativo o una convenzione) l’in-
carico del trattamento di dati personali connesso all’espletamento dei compiti istituzionali del-
l’amministrazione, da svolgersi sotto la diretta sorveglianza e secondo le istruzioni di questa,
che conserva la qualità di “titolare del trattamento”, e che non comporti decisioni di fondo sulle
finalità e sulle modalità di utilizzazione dei dati, ma limitati margini di autonomia in ordine al
concreto svolgimento del servizio ed a scelte tecnico-operative. Nell’ambito di tale configura-
zione del rapporto, il privato è legittimato ad utilizzare i dati in possesso della struttura pub-
blica, rimanendo però vincolato ad usarli per le sole finalità perseguite dall’amministrazione e
sulla base del particolare regime previsto per quest’ultima (fattispecie relativa al trattamento,
operato da laboratori fotografici, di dati personali dei contravventori alle disposizioni in tema di
limiti di velocità, desunti dalla documentazione fotografica ottenuta con apparecchiature del
tipo autovelox).
• Garante 19 dicembre 1998, in Bollettino n. 6, pag. 75 (v. anche www.garanteprivacy.it: doc. n. 40313)

R.a.i.
Le attività di trattamento effettuate dalla R.a.i. in qualità di responsabile del Ministero delle
finanze, ai fini della gestione degli abbonamenti al servizio radiotelevisivo, non possono rien-
trare nei casi, indicati dall’art. 14 della legge n. 675/1996, di esclusione dall’esercizio dei diritti
attribuiti dall’art. 13 della stessa legge. Sulla società concessionaria e sull’Amministrazione
finanziaria incombe quindi l’obbligo di fornire riscontro senza ritardo alle richieste avanzate
dagli interessati in base al citato art. 13.
• Garante 12 luglio 2000, in Bollettino n. 13, pag. 38 (v. anche www.garanteprivacy.it: doc. n. 30923)

Quale responsabile del trattamento, la R.a.i. collabora con l’amministrazione delle


Finanze, titolare del trattamento, nello svolgimento dei compiti relativi alla gestione e alla
riscossione dei canoni. La società non può, quindi, essere considerata come un soggetto pri-
vato che persegue ulteriori finalità e che può decidere autonomamente in ordine al tratta-
mento delle informazioni personali, dovendo la stessa attenersi rigorosamente alle prescri-
zioni normative e alle istruzioni impartite dall’amministrazione finanziaria. Limitatamente a
questi rapporti, alla società deve, quindi, ritenersi applicabile il particolare regime previsto
per le amministrazioni pubbliche che, a differenza dei privati – i quali, ai sensi degli artt. 12 e
20 della legge n. 675/1996, possono trattare informazioni personali in presenza del consenso
degli interessati o di uno degli altri presupposti equipollenti –, possono effettuare solo i trat-
tamenti connessi all’esercizio delle proprie funzioni istituzionali, nei limiti stabiliti dalle previ-
sioni di legge o di regolamento (art. 27 della legge).
• Garante 12 luglio 2000, in Bollettino n. 13, pag. 38 (v. anche www.garanteprivacy.it: doc. n. 30923)

SETTORI DI ATTIVITÀ > PRIVATI INCARICATI DEL TRATTAMENTO 127


A seguito dell’abrogazione degli artt. 2, 5 e 7 della legge n. 996/1949 ad opera degli artt. 2
e 6, lett. d bis) del d.l. n. 357/1994, convertito dall’art. 1 della legge n. 489/1994, è venuto meno
il fondamento normativo che obbligava i rivenditori di apparecchi televisivi alla raccolta e al suc-
cessivo invio alla R.a.i. dei dati riguardanti gli acquirenti di tali apparecchi. La rilevata carenza di
presupposti giuridici rende contrari ai principi posti dall’art. 27 della legge n. 675/1996 in mate-
ria di trattamento dei dati da parte dei soggetti pubblici – quale deve essere considerata la con-
cessionaria del sevizio radiotelevisivo – la raccolta e il trattamento dei dati degli acquirenti ope-
rati dalla R.a.i. per conto dell’Amministrazione finanziaria, attraverso accordi con i rivenditori, allo
scopo di contrastare l’evasione del canone televisivo. Pertanto, ai sensi della lett. c) dell’art. 31
della legge n. 675/1996, va segnalata alla R.a.i. e all’Amministrazione finanziaria la necessità di
interrompere la raccolta e il trattamento dei dati in questione, svolti con le modalità descritte, e di
astenersi dal loro ulteriore trattamento. Il provvedimento va comunicato anche al Governo ai sensi
della lett. m) dell’art. 31.
• Garante 5 dicembre 2001, in Bollettino n. 23, pag. 140 (v. anche www.garanteprivacy.it: doc. n. 40405)

Servizi ispettivi delle aziende sanitarie locali


L’art. 1, comma 62 della legge n. 662/1996 stabilisce che le amministrazioni possono effet-
tuare ispezioni e verifiche, avvalendosi dei propri servizi ispettivi, per accertare il rispetto da parte
dei soggetti interessati delle norme in materia di incompatibilità. È quindi legittimo il trattamento
dei dati personali che le aziende sanitarie locali effettuano nel compiere ispezioni e controlli,
anche mediante accertamenti presso studi medici privati, per verificare l’osservanza delle dispo-
sizioni in materia di incompatibilità nell’esercizio dell’attività medica, rientrando tali trattamenti
tra quelli che le aziende possono svolgere per esercitare le funzioni istituzionali ad esse attri-
buite, nei limiti stabiliti dalla legge o dai regolamenti (art. 27, comma 1 della legge n. 675/1996).
• Garante 30 novembre 1999, in Bollettino n. 10, pag. 79 (v. anche www.garanteprivacy.it: doc. n. 30931)

Ufficio italiano cambi


All’Ufficio italiano cambi si applica la particolare disciplina prevista, per i soggetti pubblici,
dall’art. 27 della legge n. 675/1996 in materia di operazioni di trattamento dei dati personali, ivi
comprese quelle inerenti alla loro comunicazione e diffusione (fattispecie relativa alla raccolta,
comunicazione e diffusione dei dati relativi all’anagrafe dei valori mobiliari, disciplinate dal
d.P.R. n. 148/1998).
• Garante 26 luglio 1999, in Bollettino n. 9, pag. 65 (v. anche www.garanteprivacy.it: doc. n. 40991)

Ufficio per la mediazione penale di Milano


In relazione all’attività di sua pertinenza, l’Ufficio per la mediazione penale di Milano è

128 Massimario 1997/2001 • Soggetti pubblici


stato nominato titolare del trattamento dei relativi dati dal Ministero della giustizia – Ufficio cen-
trale per la giustizia minorile che, con provvedimento del 13 agosto 1998, ha altresì designato il
direttore del Centro per la giustizia minorile di Milano quale responsabile del trattamento nel
relativo ambito territoriale di competenza, anche per ciò che riguarda i trattamenti gestiti in col-
laborazione con amministrazioni locali.
• Garante 17 febbraio 2000, in Bollettino n. 11/12, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 40675)

Il trattamento dei dati effettuato dall’Ufficio per la mediazione penale di Milano è con-
forme alla legge n. 675/1996 in quanto riconducibile all’attuazione degli artt. 9 e 28 del d.P.R.
n. 448/1998, che, rispettivamente, permettono agli uffici giudiziari interessati di avvalersi
della collaborazione di esperti per accertare la personalità dei minori e di promuovere la con-
ciliazione con le persone offese dal reato.
• Garante 17 febbraio 2000, in Bollettino n. 11/12, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 40675)

L’Ufficio per la mediazione penale di Milano, costituito su iniziativa di più soggetti pubblici
in base ad un protocollo d’intesa, è strutturalmente dotato di caratteristiche tali da consentirne
l’ascrizione alla sfera degli organismi pubblici che, operando per finalità di assistenza sociale,
specie in favore di minori, possono trattare dati di carattere personale per il perseguimento delle
proprie funzioni istituzionali.
• Garante 17 febbraio 2000, in Bollettino n. 11/12, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 40675)

Istituti scolastici e università


Istituti scolastici

Ai sensi dell’art. 27 della legge n. 675/1996, non è possibile la trasmissione ad una società
privata, da parte di un istituto scolastico pubblico (nella specie, un istituto tecnico industriale
statale), dell’elenco dei diplomati, corredato di informazioni di natura personale (data di nascita,
indirizzo, recapito telefonico, voto conseguito e anno di diploma), al fine di agevolarne l’inseri-
mento professionale, se non in presenza di specifiche disposizioni di legge o di regolamento che
autorizzino detta comunicazione (come stabilito dal d.lg. n. 204/1998 e dal d.P.R. n. 390/1998 in
tema di pubblicità di determinati dati relativi a laureati, dottori di ricerca e docenti in ambito uni-
versitario).
• Garante 19 dicembre 1998, in Bollettino n. 6, pag. 129 (v. anche www.garanteprivacy.it: doc. n. 38905)

L’assegnazione, da parte degli insegnanti, di temi in classe, anche se attinenti alla sfera
personale o familiare degli alunni, non contrasta con i principi fissati dalla legge n. 675/1996, in

SETTORI DI ATTIVITÀ > ISTITUTI SCOLASTICI E UNIVERSITÀ > 129


ISTITUTI SCOLASTICI
quanto rispondente alle funzioni attribuite all’istituzione scolastica. Poiché gli insegnanti, nello
svolgimento dell’attività didattica, possono venire a conoscenza – anche al di fuori degli elabo-
rati relativi ai temi assegnati – di situazioni personali e familiari degli studenti, anche di natura
sensibile, debbono comunque essere osservati dal corpo docente gli obblighi di riservatezza
(segreto d’ufficio e professionale) previsti dalle disposizioni vigenti in materia d’istruzione sco-
lastica, attualmente rafforzati dai principi sanciti dalla legge n. 675/1996 e, tra essi, da quelli
relativi alla conservazione dei dati personali (art. 9).
• Garante 4 marzo 1999, in Bollettino n. 8, pag. 49 (v. anche www.garanteprivacy.it: doc. n. 39093)

Non è in contrasto con i principi posti dalla legge n. 675/1996 la comunicazione a terzi da
parte di istituti scolastici dei dati personali degli alunni, per fini di orientamento, formazione,
selezione ed inserimento professionale, sulla base e nei limiti delle richieste provenienti in tal
senso dagli alunni stessi o, se minorenni, dagli esercenti la potestà genitoriale.
• Garante 15 luglio 1999, in Bollettino n. 9, pag. 26 (v. anche www.garanteprivacy.it: doc. n. 42304)

Ai sensi dell’art. 27, comma 3, della legge n. 675/1996, i soggetti pubblici possono
comunicare dati personali a soggetti privati soltanto ove ciò sia previsto da norme di legge o
di regolamento. Il d.lg. 30 luglio 1999, n. 281 che, nell’integrare il d.lg. 16 aprile 1994, n. 297
(art. 330 bis), ha disciplinato la divulgazione, da parte degli istituti scolastici di istruzione
secondaria, dei dati relativi agli studenti, può trovare applicazione anche in caso di richiesta,
da parte di un docente universitario, di elenchi di diplomati a scopo di ricerca, trattandosi di
un’iniziativa che, in quanto volta a favorire – anche con il contributo dell’indagine statistica –
la formazione, l’aggiornamento e la riqualificazione degli studenti e dei lavoratori, è ricondu-
cibile alle finalità specificamente contemplate dall’art. 17 dello stesso decreto.
• Garante 1 febbraio 2000, in Bollettino n. 11/12, pag. 47 (v. anche www.garanteprivacy.it: doc. n. 42168)

Università

Ai sensi dell’art. 27, comma 2 della legge n. 675/1996, deve ritenersi lecita la pubblica-
zione, da parte delle università, dei dati dei dipendenti sull’annuario universitario, trattandosi di
attività di divulgazione già disciplinata da apposita normativa (r.d. n. 674/1924).
• Garante 17 luglio 1997, in Bollettino n. 1, pag. 37 (v. anche www.garanteprivacy.it: doc. n. 40221)

Ai sensi dell’art. 27, comma 3 della legge n. 675/1996, le università possono comunicare e
diffondere a soggetti privati i dati relativi agli studenti laureati, purché detto trattamento avvenga
in base alle normative generali o, eventualmente, alle norme regolamentari dei singoli atenei.
• Garante 17 luglio 1997, in Bollettino n. 1, pag. 37 (v. anche www.garanteprivacy.it: doc. n. 40221)

130 Massimario 1997/2001 • Soggetti pubblici


Ove i dati degli iscritti vengano raccolti attraverso il c.d. modulo per l’autocertificazione, le
università sono tenute a rispettare le disposizioni della legge n. 675/1996 che riguardano, in par-
ticolare, la qualità dei dati, la loro pertinenza, l’informativa agli interessati e le misure di sicu-
rezza (artt. 9, 10 e 15 della legge).
• Garante 1 febbraio 1999, in Bollettino n. 7, pag. 54 (v. anche www.garanteprivacy.it: doc. n. 30871)

Ai sensi dell’art. 27, comma 3 della legge n. 675/1996, le università possono trasmettere
elenchi di studenti o di laureati a soggetti privati o ad enti pubblici economici in base alle nor-
mative generali o agli ordinamenti dei singoli atenei.
• Garante 1 febbraio 1999, in Bollettino n. 7, pag. 54 (v. anche www.garanteprivacy.it: doc. n. 30871)

La legge n. 390/1991 (recante norme sul diritto agli studi universitari) ed il connesso
d.P.C.M. 30 aprile 1997 (emanato ai sensi dell’art. 4 della legge n. 390/1991, recante norme in
materia di uniformità di trattamento sul diritto agli studi universitari), contenenti – tra l’altro –
disposizioni relative alla raccolta dei dati personali degli studenti ai fini della valutazione della
condizione economica del nucleo familiare d’appartenenza per la determinazione della tassa d’i-
scrizione e dei contributi, costituiscono, ai sensi dell’art. 27 della legge n. 675/1996, adeguata
base normativa per procedere alla raccolta, alla comunicazione e alla diffusione da parte delle
università ad altre amministrazioni pubbliche dei dati afferenti agli iscritti (in particolare con rife-
rimento ai servizi ed agli interventi non destinati alla generalità degli studenti), in quanto tratta-
menti riconducibili alle funzioni istituzionali delle amministrazioni interessate.
• Garante 1 febbraio 1999, in Bollettino n. 7, pag. 54 (v. anche www.garanteprivacy.it: doc. n. 30871)

Le università, quali soggetti pubblici dotati di autonoma personalità giuridica (artt. 6 e 7


della legge n. 168/1989), nel trattare i dati personali degli iscritti ai corsi di studio debbono atte-
nersi al disposto di cui agli artt. 27 (dati comuni) e 22 comma 3 (dati sensibili) della legge
n. 675/1996, nonché alla disciplina transitoria di cui all’art. 41, comma 5 della legge (per i tratta-
menti iniziati prima dell’8 maggio 1997 e proseguiti sino all’8 maggio 1999); comunque, stante la
loro natura, pur essendo tenute a rendere adeguata informativa ai sensi dell’art. 10 della legge, ai
fini del trattamento non sono tenute ad acquisire il previo consenso degli interessati.
• Garante 1 febbraio 1999, in Bollettino n. 7, pag. 54 (v. anche www.garanteprivacy.it: doc. n. 30871)

A seguito dell’entrata in vigore del d.lg. n. 204/1988 (art. 6, comma 4), le università, con
autonome determinazioni, possono comunicare e diffondere dati relativi ad attività di studio e di
ricerca – con la sola esclusione dei dati sensibili o attinenti a provvedimenti giudiziari – a laureati
e dottori di ricerca per finalità di sostegno della ricerca e della collaborazione in campo scienti-
fico e tecnologico.
• Garante 1 febbraio 1999, in Bollettino n. 7, pag. 54 (v. anche www.garanteprivacy.it: doc. n. 30871)

SETTORI DI ATTIVITÀ > ISTITUTI SCOLASTICI E UNIVERSITÀ > 131


UNIVERSITÀ
Lavoro e previdenza
Profili generali

I dati personali concernenti le classi stipendiali, le indennità e gli altri emolumenti corri-
sposti ad amministratori e lavoratori dipendenti ed autonomi da concessionari di pubblici ser-
vizi sono da ritenersi conoscibili da parte di chiunque vi abbia interesse attraverso la lettura
degli atti parlamentari (es.: risposte fornite a interrogazioni e interpellanze parlamentari), l’e-
same dei contratti collettivi, l’accesso ai documenti amministrativi (legge n. 241/1990) e, in
sede di esercizio del diritto di cronaca, da parte degli esercenti la professione giornalistica.
Rimane ferma la necessità che tali dati siano esatti, completi ed acquisiti correttamente (art. 9
della legge n. 675/1996), e che siano invece mantenuti riservati quelli relativi a circostanze per-
sonali e familiari, o che abbiano natura sensibile (es.: ritenute previdenziali e assistenziali; ces-
sioni di stipendio; deleghe sindacali).
• Garante 16 settembre 1997, in Bollettino n. 2, pag. 16 (v. anche www.garanteprivacy.it: doc. n. 39364)

Nei “test attitudinali” sottoposti da un comune ai propri dipendenti, al fine della migliore
utilizzazione del personale, non possono essere contenuti quesiti attraverso i quali i lavoratori
esprimano in forma non anonima giudizi di valore riferiti alle complessive finalità dell’ente comu-
nale, nonché alle linee concrete dell’azione politico-amministrativa dell’ente e dei suoi dirigenti.
I dati così acquisiti, infatti, risultano in contrasto sia con il principio di pertinenza rispetto alle
finalità della raccolta sancito dall’art. 9, comma 1, lett. c) della legge n. 675/1996, attesa la loro
assai dubbia rilevanza ai fini della valutazione dell’attitudine professionale dei dipendenti, sia
con l’art. 27, comma 1 della stessa legge, il quale stabilisce che i soggetti pubblici possono pro-
cedere al trattamento dei dati personali solo per lo svolgimento delle finalità istituzionali, nei
limiti stabiliti dalla legge e dei regolamenti, in quanto l’art. 8 della legge n. 300/1970 fa divieto
al datore di lavoro di svolgere indagini sulle opinioni politico-sindacali dei lavoratori.
• Garante 1 luglio 1998, in Bollettino n. 5, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 42332)

Il datore di lavoro – nella specie, un comune – che decida di sottoporre i dipendenti ad un


“test attitudinale” allo scopo di procedere alla migliore utilizzazione del personale, deve rendere
ai lavoratori un’adeguata informativa (art. 10 della legge n. 675/96) che precisi, in particolare, la
obbligatorietà o meno delle risposte e le conseguenze in caso di mancata risposta, e che indichi
gli eventuali soggetti esterni (es.: una società di elaborazione dati) che possono avere accesso
ai dati.
• Garante 1 luglio 1998, in Bollettino n. 5, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 42332)

Un soggetto pubblico – nella specie, un comune – può ricorrere ad analisi statistiche, a


questionari e a valutazioni attitudinali dei dipendenti, che presuppongono la raccolta di dati per-

132 Massimario 1997/2001 • Soggetti pubblici


sonali, qualora ciò sia necessario per perseguire le proprie finalità istituzionali, nel rispetto,
peraltro, dei limiti posti da norme di legge e di regolamento, tra i quali vanno ricompresi quelli
previsti dalla legge n. 675/1996 e dalla legge n. 300/1970.
• Garante 1 luglio 1998, in Bollettino n. 5, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 42332)

Il trattamento dei dati personali contenuti nei curricula vitae inviati spontaneamente dai
candidati all’instaurazione di rapporti di lavoro presuppone necessariamente che sia resa una
previa informativa, fatta eccezione dei soli elementi, fra quelli indicati nell’art. 10, comma 1 della
legge n. 675/1996, che siano già noti agli interessati (principio espresso in fattispecie concer-
nente i curricula inviati a società operanti nel settore del lavoro interinale disciplinato dalla legge
n. 196/1997). Ove i dati vengano raccolti telefonicamente, l’informativa può essere data anche
oralmente (e documentata per iscritto dall’addetto che la fornisce).
• Garante 24 dicembre 1998, in Bollettino n. 6, pag. 119 (v. anche www.garanteprivacy.it: doc. n. 40173)

I dati personali contenuti nel cedolino dello stipendio dei lavoratori dipendenti, in quanto
collegati a persone fisiche individuate o individuabili, rientrano nella nozione di “dato perso-
nale” contenuta nell’art. 1 della legge n. 675/1996. Si rende quindi necessario adottare le oppor-
tune misure volte a tutelare la riservatezza degli interessati (es.: piegando e spillando il cedo-
lino, imbustandolo, apponendovi una copertura delle parti più significative, ovvero introducendo
una “distanza di cortesia” agli sportelli), affinché tali dati non siano immediatamente accessibili
a terzi, ma rimangano conoscibili dai soli incaricati del trattamento che li devono necessaria-
mente utilizzare per la gestione del rapporto di lavoro.
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 100 (v. anche www.garanteprivacy.it: doc. n. 39324)

Il datore di lavoro deve adottare tutte le misure volte a tutelare la riservatezza dei dati con-
tenuti nel cedolino dello stipendio dei dipendenti, affinché tali dati non siano immediatamente
accessibili ad altre persone, rimanendo conoscibili dai soli incaricati del trattamento che li
devono necessariamente utilizzare per la gestione del rapporto di lavoro.
• Garante 8 giugno 1999, in Bollettino n. 9, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 40369)

I soggetti pubblici, a differenza dei privati e degli enti pubblici economici, non devono richie-
dere il consenso degli interessati e l’autorizzazione del Garante per poter trattare dati sensibili, ma,
ai sensi dell’art. 22, comma 3 della legge n. 675/1996, come modificato dal d.lg. n. 135/1999,
devono verificare che tali trattamenti siano conformi a puntuali disposizioni di legge che specifi-
chino i tipi dei dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di inte-
resse pubblico perseguite (principio espresso in risposta a un quesito posto da una pubblica ammi-
nistrazione relativo al trattamento dei dati sensibili dei propri dipendenti per la gestione del rap-
porto di lavoro).
• Garante 9 giugno 1999, in Bollettino n. 9, pag. 18 (v. anche www.garanteprivacy.it: doc. n. 39184)

SETTORI DI ATTIVITÀ > LAVORO E PREVIDENZA > 133


PROFILI GENERALI
La disciplina introdotta dal d.lg. n. 135/1999 rende ammissibile il trattamento dei dati di
carattere giudiziario da parte delle amministrazioni pubbliche nell’ambito del rapporto di lavoro
e, in particolare, per svolgere attività dirette all’accertamento della responsabilità disciplinare
dei dipendenti (art. 9, comma 2, lett. g).
• Garante 12 luglio 1999, in Bollettino n. 9, pag. 51 (v. anche www.garanteprivacy.it: doc. n. 39660)

Non contrasta con i principi di liceità e correttezza nel trattamento dei dati personali posti
dall’art. 9 della legge n. 675/1996 l’acquisizione da parte di un’amministrazione comunale della
copia di una sentenza penale emessa nei confronti dell’interessato, dipendente del Comune, al
fine di utilizzarne i dati esclusivamente per motivi inerenti allo svolgimento del procedimento
disciplinare instaurato nei confronti dello stesso dipendente.
• Garante 12 luglio 1999, in Bollettino n. 9, pag. 51 (v. anche www.garanteprivacy.it: doc. n. 39660)

Le offerte di lavoro riportate su annunci pubblicati in quotidiani o periodici debbono recare


adeguate informative sul trattamento dei dati raccolti; in caso contrario, le dichiarazioni di con-
senso al trattamento spesso richieste per l’invio dei curricula sono da ritenersi invalide.
• Garante 13 gennaio 2000, in Bollettino n. 11/12, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 42276)

L’art. 13 della legge n. 675/1996 consente l’accesso ai dati personali da parte dei soggetti
cui i dati stessi si riferiscono. È quindi inammissibile il ricorso proposto, ai sensi dell’art. 29 della
legge, da alcuni dipendenti nei confronti del titolare/datore di lavoro, al fine di ottenere l’ac-
cesso alle note di qualifica e alle procedura di valutazione concernenti altri lavoratori.
• Garante 6 febbraio 2001, in Bollettino n. 17, pag. 24 (v. anche www.garanteprivacy.it: doc. n. 39236)

La richiesta del documento matricolare da parte dell’ufficio del Ministero della difesa
presso il quale l’interessato, ufficiale della Marina militare, presta servizio, nonché il successivo
invio di tale documento da parte della competente Direzione generale, non danno luogo ad una
operazione di comunicazione o di diffusione di dati, trattandosi invece di un’attività di utilizzo
interno all’amministrazione militare di dati che vengono trattati da parte di organi e uffici in rela-
zione alle proprie competenze e per lo svolgimento di funzioni istituzionali.
• Garante 6 febbraio 2001, in Bollettino n. 17, pag. 30 (v. anche www.garanteprivacy.it: doc. n. 40615)

L’annotazione inserita dalla Direzione generale per il personale militare, sul documento
matricolare di un ufficiale della Marina militare, della decisione adottata nei suoi confronti dal
giudice per l’udienza preliminare, come pure la trasmissione del documento all’ufficio presso
il quale il militare presta servizio, al fine dell’espletamento di una pratica stipendiale, non

134 Massimario 1997/2001 • Soggetti pubblici


comportano violazione dell’art. 24 della legge n. 675/1996. Il d.lg. n. 135/99, all’art. 9, rende
infatti lecito il trattamento dei dati personali relativi ai provvedimenti giudiziari menzionati
nell’art. 24 della legge, ove effettuato per finalità di gestione del rapporto di lavoro.
• Garante 6 febbraio 2001, in Bollettino n. 17, pag. 30 (v. anche www.garanteprivacy.it: doc. n. 40615)

Costituiscono dati personali del dipendente i criteri, gli indici e i fattori algebrici utilizzati
dal datore di lavoro al fine di determinare il “parametro di partecipazione al risultato“ del lavo-
ratore, nonché il valore numerico finale di detto parametro. È peraltro infondato, e deve quindi
essere rigettato, il ricorso del dipendente che non sia basato su elementi che permettano di rite-
nere sussistenti altri dati oltre quelli suddetti, ove il datore abbia precisato che il valore mate-
matico del parametro sia frutto di un semplice “percorso logico“ interno svolto personalmente e
discrezionalmente dal direttore dell’azienda, non documentato in atti o note formali.
• Garante 27 giugno 2001, in Bollettino n. 21, pag. 8 (v. anche www.garanteprivacy.it: doc. n. 30971)

Costituisce illegittimo trattamento dei dati personali, anche di natura sensibile, la comuni-
cazione, da parte del datore di lavoro, indistintamente ai singoli medici che hanno rilasciato
alcuni certificati giustificativi di varie assenze per malattia di una dipendente, nonché all’Ordine
provinciale dei medici e ad una A.S.L., di dati della dipendente e della di lei figlia minore, atti-
nenti alle ragioni delle singole assenze – non tutte per malattia – e alla consecutività dei relativi
periodi di mancata prestazione lavorativa. Con tale comportamento vengono violati i principi di
pertinenza e non eccedenza fissati dall’art. 9 della legge n. 675/1996, nonché le tutele specifi-
camente apprestate a garanzia del trattamento dei dati sensibili – nella specie, attinenti allo
stato di salute – dall’art. 22 della legge.
• Garante 24 settembre 2001, in Bollettino n. 22, pag. 48 (v. anche www.garanteprivacy.it: doc. n. 39460)

Non viola i principi di pertinenza e non eccedenza fissati dall’art. 9 della legge n. 675/1996
il datore di lavoro che comunica all’I.n.p.s. i dati del dipendente assente anche per un solo
giorno, al fine del controllo sullo stato di malattia, in considerazione della normativa di legge e
di quella contrattuale di settore che prevedono la possibilità di controlli e visite fiscali fin dal
primo giorno di assenza.
• Garante 28 settembre 2001, in Bollettino n. 22, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 41103)

Ai sensi dell’art. 3, comma 5, del d.lg. n. 135/1999, il trattamento dei dati idonei a rivelare
lo stato di salute dei dipendenti di un soggetto pubblico è sottoposto a particolari obblighi e cau-
tele che impongono, tra l’altro, la conservazione separata di detti dati da ogni altro dato perso-
nale dell’interessato; tale principio di tendenziale separazione, peraltro, che si concreta soprat-
tutto sul piano della custodia dei dati, deve trovare attuazione anche con riferimento ai fascicoli
personali cartacei dei dipendenti dell’I.n.p.s., con conseguente obbligo dell’Istituto di preporre

SETTORI DI ATTIVITÀ > LAVORO E PREVIDENZA > 135


PROFILI GENERALI
alla loro custodia apposito personale, specificamente istruito sulle finalità e sulle cautele indi-
cate dal d.lg. n. 135/1999.
• Garante 30 ottobre 2001, in Bollettino n. 23, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 39085)

Collocamento

Premesso che la legge n. 675/1996 non ha abrogato le disposizioni contenute nella legge
n. 135/1990 (recante un programma di interventi urgenti per la prevenzione e la lotta contro
l’A.I.D.S.), ai fini dell’iscrizione nelle liste del collocamento obbligatorio non è richiesta la speci-
ficazione della diagnosi risultante dalla visita per il riconoscimento dell’invalidità civile – e, in
particolare, dell’eventuale presenza dell’infezione da H.I.V. –, essendo sufficiente l’indicazione
della percentuale di invalidità riscontrata, fermo restando che la certificazione della specifica
patologia può essere richiesta al momento dell’inserimento nel posto di lavoro dell’interessato,
il quale è anche tenuto a fornire indicazioni dell’eventuale presenza dell’affezione da H.I.V. in
vista dello svolgimento di attività che comportino un serio rischio di contagio della malattia a
terzi (cfr. Corte Cost., sent. n. 218/1994).
• Garante 19 dicembre 1997, in Bollettino n. 2, pag. 60 (v. anche www.garanteprivacy.it: doc. n. 39168)

Ai sensi dell’art. 27, comma 3 della legge n. 675/1996, gli uffici di collocamento, in quanto
soggetti pubblici, possono comunicare o diffondere dati a privati solo se ciò sia previsto da una
norma di legge o di regolamento. In tale ottica, il d.lg. n. 469/1997, istitutivo del S.I.L. - Sistema
informativo lavoro, prevedendo un obbligo di connessione e di scambio di dati relativi ai lavora-
tori tra Ministero del lavoro, regioni, enti locali e soggetti autorizzati alla mediazione tra
domanda ed offerta di lavoro, ha reso possibile l’accesso alle banche dati, mediante conven-
zione, anche alle imprese di fornitura di lavoro temporaneo ed ai soggetti autorizzati a detta
mediazione (art. 11, commi 3, 4 e 5). Al contrario, allo stato attuale, nell’ambito della disciplina
sul collocamento al lavoro non sussistono ulteriori norme che permettano di comunicare o di
mettere a disposizione le liste degli iscritti in favore di datori di lavoro privati diversi da quelli
autorizzati dal citato d.lg. n. 469/1997.
• Garante 17 febbraio 1999, in Bollettino n. 7, pag. 59 (v. anche www.garanteprivacy.it: doc. n. 40517)

La creazione di una banca dati centralizzata attuativa della disciplina del collocamento ordi-
nario istituito dalla legge n. 59/1997, che interessa la generalità delle persone aventi l’età stabi-
lita per essere ammesse al lavoro e che sono in cerca di lavoro perché inoccupate, disoccupate,
nonché occupate in cerca di altra attività, presuppone un’attenta regolamentazione che vada
oltre l’assetto della sicurezza e dell’integrità dei dati e che deve riguardare le finalità perseguite,
l’individuazione di compiti e responsabilità, i vari flussi di dati e la loro utilizzazione ulteriore.
• Garante 30 novembre 1999, in Bollettino n. 10, pag. 27 (v. anche www.garanteprivacy.it: doc. n. 39640)

136 Massimario 1997/2001 • Soggetti pubblici


Ferme restando le condivisibili finalità di interesse pubblico connesse al riordino e alla
semplificazione delle procedure di collocamento perseguite dalla disciplina del collocamento
ordinario adottato ai sensi dell’art. 20 della legge n. 59/1997, è necessario, per rispettare i diritti
fondamentali degli interessati previsti dalla legge n. 675/1996, che l’utilizzazione dei dati con-
tenuti nell’elenco anagrafico, nonché nella banca dati corrispondente alle schede professionali,
avvenga sulla base di un preciso quadro di riferimento, anche per ciò che riguarda l’attivazione
dei flussi di dati tra amministrazioni ed altri soggetti (es.: i centri per l’impiego e gli altri organi
individuati dalle regioni ai sensi dell’art. 4 del d.lg. n. 469/1997).
• Garante 30 novembre 1999, in Bollettino n. 10, pag. 27 (v. anche www.garanteprivacy.it: doc. n. 39640)

Invalidità civile

Premesso che la legge n. 675/1996 non ha abrogato le disposizioni contenute nella legge
n. 135/1990 (recante un programma di interventi urgenti per la prevenzione e la lotta contro
l’A.I.D.S.), ai fini dell’iscrizione nelle liste del collocamento obbligatorio non è richiesta la speci-
ficazione della diagnosi risultante dalla visita per il riconoscimento dell’invalidità civile – e, in
particolare, dell’eventuale presenza dell’infezione da H.I.V. –, essendo sufficiente l’indicazione
della percentuale di invalidità riscontrata, fermo restando che la certificazione della specifica
patologia può essere richiesta al momento dell’inserimento nel posto di lavoro dell’interessato,
il quale è anche tenuto a fornire indicazioni dell’eventuale presenza dell’affezione da H.I.V. in
vista dello svolgimento di attività che comportino un serio rischio di contagio della malattia a
terzi (cfr. Corte Cost., sent. n. 218/1994).
• Garante 19 dicembre 1997, in Bollettino n. 2, pag. 60 (v. anche www.garanteprivacy.it: doc. n. 39168)

Le disposizioni della legge n. 135/1990 – la cui vigenza è stata confermata dalla legge
n. 675/1996 (art. 43, comma 2) – che sanciscono, tra l’altro, l’obbligo per gli operatori sani-
tari che vengono a conoscenza di un caso di A.I.D.S. o di infezione da H.I.V. di comunicare i
risultati degli accertamenti diagnostici esclusivamente alle persone cui tali esami sono rife-
riti (art. 5), prevalgono sulle norme regolamentari contenute nel d.m. n. 187/1997, che (art. 6)
prevede che la commissione medica competente ad accertare lo stato di inabilità a svolgere
un’attività lavorativa debba redigere un processo verbale, comprensivo del giudizio diagno-
stico, da trasmettere all’amministrazione o all’ente che abbia richiesto l’accertamento. Ne
consegue che la commissione deve adottare ogni misura necessaria per tutelare la riserva-
tezza della persona interessata (es.: indicando la diagnosi relativa all’A.I.D.S. o all’H.I.V. in un
documento riservato anziché nel verbale).
• Garante 31 luglio 1998, in Bollettino n. 5, pag. 40 (v. anche www.garanteprivacy.it: doc. n. 39172)

Poiché a seguito dell’entrata in vigore del d.lg. n. 135/1999 sono lecite (art. 4) le sole ope-
razioni di trattamento dei dati sensibili – inclusa la comunicazione – da parte dei soggetti pub-

SETTORI DI ATTIVITÀ > LAVORO E PREVIDENZA > 137


INVALIDITÀ CIVILE
blici strettamente necessarie al perseguimento delle finalità per le quali il trattamento è con-
sentito, non può più ritenersi ammissibile comunicare taluni dati ad associazioni ed enti che
tutelano le diverse categorie di invalidi in base ai compiti previsti dal proprio assetto istituzio-
nale o statutario, salvo che tale comunicazione non sia ritenuta indispensabile per il raggiungi-
mento della rilevante finalità pubblica perseguita dalle competenti amministrazioni.
• Garante 1 dicembre 1999, in Bollettino n. 11/12, pag. 14 (v. anche www.garanteprivacy.it: doc. n. 40731)

A seguito dell’entrata in vigore del d.lg. n. 135/1999, le amministrazioni pubbliche, nel trat-
tare i dati sensibili, sono tenute non solo a verificare il costante rispetto dei diritti, delle libertà
fondamentali e della dignità degli interessati, ma anche a provvedere affinché i dati idonei a rive-
lare lo stato d’invalidità siano trattati solo quando non sia possibile effettuare altrimenti i singoli
adempimenti o passaggi procedurali volti al riconoscimento dei benefici. Nello svolgimento dei
compiti in materia di invalidità civile, anche per ciò che riguarda verifiche e controlli, le ammini-
strazioni non incontrano alcun ostacolo nella normativa sui dati personali: esse, però, sono
tenute a modulare con particolare attenzione la raccolta, la custodia e i flussi di dati, indivi-
duando anche nei riguardi di quali fasi e di quali documenti o soggetti sia realmente essenziale
menzionare in tutto o in parte alcune informazioni sullo stato di salute.
• Garante 1 dicembre 1999, in Bollettino n. 11/12, pag. 14 (v. anche www.garanteprivacy.it: doc. n. 40731)

Note di qualifica e relazioni predisposte dal datore di lavoro

L’esercizio del diritto di accesso da parte dei dipendenti ai giudizi ad alle ricostruzioni dei
profili professionali espressi dal datore di lavoro è subordinato al completamento della proce-
dura di valutazione, e quindi non può essere fatto valere nelle fasi di preparazione delle note di
qualifica o delle schede di valutazione.
• Garante 2 giugno 1999, in Bollettino n. 9, pag. 34 (v. anche www.garanteprivacy.it: doc. n. 40261)

L’espressione “qualunque informazione” contenuta nell’art. 1, comma 2, lett. c) della legge


n. 675/1996 vuole attribuire alla definizione di “dato personale” la massima ampiezza, compren-
dendo anche ogni notizia, informazione o elemento che abbia un’efficacia informativa tale da for-
nire un contributo aggiuntivo di conoscenza rispetto ad un soggetto identificato o identificabile.
Ciò in riferimento sia ad informazioni oggettivamente caratterizzate (suscettibili di una verifica e
di un sindacato obiettivo), sia a descrizioni, giudizi, analisi o ricostruzioni di profili personali
(riguardanti attitudini, qualità, requisiti o comportamenti professionali) che danno origine a stime
ed opinioni di natura soggettiva finalizzate anche ad una valutazione complessiva del soggetto
interessato (fattispecie relativa alle richieste di alcuni dipendenti di conoscere le argomentazioni
e le valutazioni poste a base del giudizio espresso sinteticamente nei loro confronti – ottimo,
buono, mediocre, insufficiente, ecc. – dal datore di lavoro, reso noto ogni anno a ciascuno di loro).
• Garante 2 giugno 1999, in Bollettino n. 9, pag. 34 (v. anche www.garanteprivacy.it: doc. n. 40261)

138 Massimario 1997/2001 • Soggetti pubblici


Nella nozione di dato personale contenuta nell’art. 1, comma 2, lett. c), della legge
n. 675/1996 vanno ricomprese le informazioni di natura personale annotate in schede, note di
qualifica e documenti dello stesso genere formati dal datore di lavoro, anche se inserite in atti
recanti giudizi e valutazioni, contenenti elementi distintivi del dipendente al quale si riferiscono.
• Garante 11 gennaio 2001, in Bollettino n. 16, pag. 25 (v. anche www.garanteprivacy.it: doc. n. 39232)

Le valutazioni effettuate dal datore di lavoro nei confronti del dipendente, comunque for-
mulate o sintetizzate, costituiscono dati personali dell’interessato, suscettibili di richiesta di
accesso ai sensi dell’art. 13 della legge n. 675/1996.
• Garante 7 marzo 2001, in Bollettino n. 18, pag. 32 (v. anche www.garanteprivacy.it: doc. n. 40285)

L’inaccessibilità del dipendente ai dati personali può essere riconosciuta soltanto nei
momenti puramente prodromici che precedono la definizione dei giudizi da parte del datore di
lavoro, e non nel caso in cui quest’ultimo abbia concretizzato la valutazione sul lavoratore, con-
servandone traccia attraverso la formulazione di punteggi o giudizi finali.
• Garante 7 marzo 2001, in Bollettino n. 18, pag. 32 (v. anche www.garanteprivacy.it: doc. n. 40285)

Nell’ambito dell’esercizio degli specifici diritti tutelati dall’art. 13 della legge n. 675/1996,
in particolare del diritto di accesso da parte del dipendente ai dati personali detenuti dal datore
e riferiti all’attività lavorativa svolta, non è possibile pretendere di ottenere copia integrale degli
atti o dei documenti contenenti i dati, ove questi ultimi siano stati forniti attraverso la loro estra-
zione e messa a disposizione, anche se su supporti diversi dagli originali.
• Garante 19 aprile 2001, in Bollettino n. 19, pag. 12 (v. anche www.garanteprivacy.it: doc. n. 41842)

Nella nozione di dato personale offerta dall’art. 1, comma 2, della legge n. 675/1996 rien-
trano anche i dati contenuti in relazioni predisposte dal datore di lavoro che contengano notizie,
informazioni e elementi che abbiano un’efficacia informativa tale da fornire un contributo
aggiuntivo di conoscenza rispetto ad un soggetto identificato o identificabile.
• Garante 24 settembre 2001, in Bollettino n. 22, pag. 57 (v. anche www.garanteprivacy.it: doc. n. 41015)
• Garante 10 ottobre 2001, in Bollettino n. 23, pag. 88 (v. anche www.garanteprivacy.it: doc. n. 40337)

Nella nozione di dato personale contenuta nell’art. 1, comma 2, lett. c), della legge
n. 675/1996 vanno comprese le informazioni di natura personale, annotate in schede, note di
qualifica e documenti dello stesso genere formati dal datore di lavoro, anche se inserite in atti
recanti giudizi e valutazioni e che contengano elementi distintivi del dipendente al quale si rife-
riscono, nonostante che tali dati, cui il lavoratore ha diritto di accedere, non siano passibili di

SETTORI DI ATTIVITÀ > LAVORO E PREVIDENZA > 139


NOTE DI QUALIFICA E RELAZIONI PREDISPOSTE DAL DATORE DI LAVORO
correzione o rettifica, attesa la loro natura di espressioni del libero e soggettivo convincimento
del valutatore.
• Garante 5 dicembre 2001, in Bollettino n. 23, pag. 96 (v. anche www.garanteprivacy.it: doc. n. 40345)

Nella nozione di dato personale offerta dall’art. 1, comma 2, della legge n. 675/1996, rien-
trano non solo i dati contenuti nel fascicolo personale del dipendente, ma in genere tutte le infor-
mazioni detenute dal datore di lavoro, purché atte a fornire un contributo aggiuntivo di cono-
scenza rispetto al lavoratore.
• Garante 19 dicembre 2001, in Bollettino n. 23, pag. 52 (v. anche www.garanteprivacy.it: doc. n. 41854)

Nella nozione di dato personale offerta dall’art. 1, comma 2, della legge n. 675/1996 rien-
trano anche i dati contenuti nel fascicolo personale del dipendente e nelle relazioni predisposte
dal datore di lavoro che contengano notizie, informazioni o elementi che abbiano un’efficacia
informativa tale da fornire un contributo aggiuntivo di conoscenza rispetto ad un soggetto iden-
tificato o identificabile.
• Garante 27 dicembre 2001, in Bollettino n. 23, pag. 72 (v. anche www.garanteprivacy.it: doc. n. 40987)

Casi particolari

Agenzie regionali per l’impiego

Le Agenzie regionali per l’impiego istituite dalla legge n. 56/1987, in quanto soggetti pub-
blici, soggiacciono alla speciale disciplina prevista dagli artt. 27 e 22, comma 3 della legge
n. 675/1996, che consentono il trattamento dei dati solo se previsto da apposite previsioni di
legge. Ne consegue che va esclusa la possibilità di rendere pubbliche le liste di mobilità in favore
di aziende o associazioni di categoria che ne facciano richiesta, in quanto la normativa di settore
(artt. 6 e ss. della legge n. 223/1991; d.lg. n. 469/1997; decreto del Ministero del lavoro dell’8
maggio 1998, pubblicato sulla G.U. del 6 giugno 1998) prevede un obbligo di connessione e di
scambio dei dati solo tra soggetti specificamente individuati (Ministero del lavoro, regioni, enti
locali, imprese di fornitura di lavoro temporaneo e soggetti autorizzati alla mediazione tra
domanda e offerta di lavoro).
• Garante 12 ottobre 1998, in Bollettino n. 6, pag. 55 (v. anche www.garanteprivacy.it: doc. n. 42272)

Cartellini identificativi dei dipendenti

Le disposizioni degli artt. 20 e 27, commi 3 e 4, della legge n. 675/1996 consentono, rispet-

140 Massimario 1997/2001 • Soggetti pubblici


tivamente nel settore del lavoro privato e in quello pubblico, la diffusione di dati personali solo a
precise condizioni, al di là dell’ipotesi dell’espresso consenso dell’interessato; in particolare, men-
tre i soggetti privati possono diffondere i dati personali in adempimento di un obbligo previsto da
una legge, da un regolamento o dalla normativa comunitaria, i soggetti pubblici possono far ciò
solo ove previsto da una norma di legge o di regolamento. Con specifico riferimento ai trattamenti
connessi all’impiego, da parte dei lavoratori, dei cartellini identificativi sul posto di lavoro, il cui
obbligo di utilizzazione trova fondamento, a seconda del settore lavorativo privato o pubblico, in
accordi aziendali, in regolamenti aziendali o in atti amministrativi d’organizzazione adottati a
livello nazionale o locale, deve comunque trovare applicazione l’art. 9 della legge n. 675/1996 e,
segnatamente, il principio di pertinenza e non eccedenza, sicché, in assenza di specifiche norme
di legge o di regolamento che ne prescrivano analiticamente il contenuto, da detti cartellini deb-
bono essere espunti tutti quei dati personali dei lavoratori che risultino non pertinenti o inutil-
mente eccedenti rispetto alle finalità di responsabilizzare maggiormente il personale o di fornire
agli utenti una conoscenza sufficiente degli operatori con cui entrano in rapporto.
• Garante 11 gennaio 2001, in Bollettino n. 16, pag. 32 (v. anche www.garanteprivacy.it: doc. n. 30991)

Codici identificativi numerici dei dipendenti

L’individuazione di un dipendente con un codice identificativo numerico comporta da parte


del datore di lavoro un trattamento dei dati alla luce della definizione di dato personale conte-
nuta nell’art. 1, comma 2, lett. c), della legge n. 675/1996. Nei confronti di tali dati possono
essere azionati i diritti previsti dall’art. 13 della legge.
• Garante 24 settembre 2001, in Bollettino n. 22, pag. 52 (v. anche www.garanteprivacy.it: doc. n. 42140)

Dipendenti della pubblica amministrazione


In assenza di una formale designazione come incaricati del trattamento, i dipendenti delle
pubbliche amministrazioni che, per lo svolgimento dei propri compiti, vengono a conoscenza di
dati personali, devono essere considerati come soggetti terzi rispetto alle amministrazioni
stesse, con conseguenti rilevanti limiti per la comunicazione e l’utilizzazione dei dati e quindi per
la liceità del trattamento. Tale designazione è, infatti, indispensabile, in quanto permette di con-
siderare legittimo il flusso delle informazioni personali nell’ambito degli uffici e tra i dipendenti
dell’amministrazione titolare del trattamento (v. art. 19 della legge n. 675/1996).
• Garante 23 maggio 2000, in Bollettino n. 13, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40229)

Indagini sul luogo di lavoro


La raccolta di informazioni sul luogo di lavoro, effettuata da investigatori privati in occa-

SETTORI DI ATTIVITÀ > LAVORO E PREVIDENZA > 141


CASI PARTICOLARI > CODICI IDENTIFICATIVI NUMERICI DEI DIPENDENTI
sione di una specifica attività d’indagine commissionata dal datore di lavoro, non necessita della
preventiva acquisizione del consenso del dipendente interessato ove venga svolta in ossequio
alle disposizioni contenute nella legge n. 300/1970 e per il solo periodo strettamente necessa-
rio per far valere, anche in sede giudiziaria, i diritti connessi al rapporto di lavoro.
• Garante 21 novembre 2001, in Bollettino n. 23, pag. 98 (v. anche www.garanteprivacy.it: doc. n. 42106)

Le informazioni raccolte da investigatori privati in occasione di una specifica attività d’in-


dagine svolta sul luogo di lavoro e commissionata dal datore di lavoro, in quanto associate od
associabili ai singoli lavoratori, possono essere oggetto di istanza d’accesso da parte di ciascun
dipendente interessato.
• Garante 21 novembre 2001, in Bollettino n. 23, pag. 98 (v. anche www.garanteprivacy.it: doc. n. 42106)

Informazioni sul dipendente contenute in e-mail

Le informazioni sul comportamento osservato da un lavoratore, fornite con messaggi di


posta elettronica inviati ai superiori gerarchici da dipendenti o da altri collaboratori azien-
dali, rientrano nell’ampia nozione di dato personale di cui all’art. 1, comma 2, lett. c), della
legge n. 675/1996, con conseguente diritto del lavoratore interessato ad accedervi.
• Garante 30 ottobre 2001, in Bollettino n. 23, pag. 86 (v. anche www.garanteprivacy.it: doc. n. 42078)

I.n.p.g.i.

A seguito della trasformazione dell’I.n.p.g.i. da ente pubblico a fondazione con persona-


lità di diritto privato, avvenuta con d.lg. n. 509/1994, i trattamenti di dati personali effettuati
dall’Istituto nell’esercizio dei compiti istituzionali sono soggetti alla disciplina prevista dalla
legge n. 675/1996 per i soggetti privati e gli enti pubblici economici; pertanto, l’I.n.p.g.i., per le
operazioni inerenti alla raccolta ed all’utilizzazione dei dati relativi agli iscritti, al personale ed
agli altri soggetti con cui vengano instaurati regolari rapporti, è tenuto ad osservare la speciale
normativa concernente i requisiti dei dati, l’informativa ed il consenso, i dati sensibili e le
misure di sicurezza.
• Garante 13 maggio 1998, in Bollettino n. 4, pag. 45 (v. anche www.garanteprivacy.it: doc. n. 40807)

I contratti collettivi di lavoro, stante la persistente mancata attuazione della disciplina


sull’organizzazione sindacale prevista dall’art. 39 della Costituzione, hanno natura di contratti
di diritto privato, sicché, ai fini dell’applicazione dei principi della legge n. 675/1996 sul trat-
tamento dei dati personali, non possono essere considerati alla stregua di vere e proprie dis-
posizioni normative. Ne consegue che, in assenza di espresse norme di legge o di regola-

142 Massimario 1997/2001 • Soggetti pubblici


mento, all’I.n.p.g.i., nonostante l’espressa previsione contenuta nella contrattazione collettiva
(art. 33), non è consentito di portare autonomamente a conoscenza delle imprese editrici i dati
relativi alla posizione pensionistica dei propri iscritti, occorrendo, ai sensi dell’art. 20 della
legge n. 675/1996, l’acquisizione del preventivo consenso dei giornalisti interessati.
• Garante 13 maggio 1998, in Bollettino n. 4, pag. 45 (v. anche www.garanteprivacy.it: doc. n. 40807)

Istituti di patronato e assistenza sociale

Né la normativa in materia di igiene e sicurezza sul lavoro (d.lg. n. 626/1994), ne il testo


unico recante disposizioni in materia di assicurazione obbligatoria contro gli infortuni sul lavoro
(d.P.R. n. 1124/1965 e successive modificazioni ed integrazioni) prevedono che gli istituti di
patronato ed assistenza sociale, che hanno personalità giuridica di diritto privato (art. 1 della
legge n. 112/1980), possano accedere, anche mediante presa visione, alla globalità degli elenchi
delle denunce di infortunio sul lavoro detenuti dalle autorità locali di pubblica sicurezza. Detti
istituti possono, quindi, conoscere esclusivamente i dati riguardanti gli assistiti dai quali
abbiano ricevuto esplicito mandato in tal senso.
• Garante 27 ottobre 1999, in Bollettino n. 10, pag. 76 (v. anche www.garanteprivacy.it: doc. n. 39584)

Qualifiche lavorative

Con l’istanza di cui all’art. 13 della legge n. 675/1996 non possono essere formulate richie-
ste di rettifica di dati personali (in particolare, qualifiche lavorative) che costituiscono espres-
sione del livello di inquadramento mansionistico e retributivo del dipendente in azienda, ove
sussista controversia tra il datore/titolare dei dati e il lavoratore/interessato in ordine alla cor-
retta individuazione di detto inquadramento sulla base delle mansioni svolte dal dipendente e
della disciplina dettata dalla contrattazione collettiva. Rimane impregiudicata la facoltà del lavo-
ratore di far valere i propri diritti avanti all’a.g.o..
• Garante 11 settembre 2001, in Bollettino n. 22, pag. 46 (v. anche www.garanteprivacy.it: doc. n. 42336)

Servizi informatici di postalizzazione

I soggetti privati che gestiscono per conto dell’I.n.p.s. servizi informatici di postalizzazione
(es.: il servizio Postel) per il trattamento di dati personali finalizzato alla liquidazione degli asse-
gni per il nucleo familiare e di maternità, debbono essere designati dall’Istituto/titolare come
responsabili del trattamento ai sensi dell’art. 8 della legge n. 675/1996, in quanto viene loro affi-
data l’esecuzione, sia pure con un certo grado di autonomia, solo di una parte strumentale delle
operazioni di trattamento necessarie per perseguire le finalità del titolare.
• Garante 2 giugno 1999, in Bollettino n. 9, pag. 11 (v. anche www.garanteprivacy.it: doc. n. 39857)

SETTORI DI ATTIVITÀ > LAVORO E PREVIDENZA > 143


CASI PARTICOLARI > ISTITUTI DI PATRONATO E ASSISTENZA SOCIALE
Telecamere sui mezzi pubblici

Ai fini del contenimento della criminalità in particolari ambiti cittadini, possono essere con-
cluse, tra forze di polizia ed aziende comunali di trasporto pubblico, intese dirette all’introdu-
zione di sistemi di videosorveglianza attraverso l’installazione, in via sperimentale, di teleca-
mere su alcune linee di autobus e tram e presso le fermate. A tal fine, prima dell’attivazione dei
sistemi, la localizzazione delle telecamere e le modalità di ripresa andranno fissate in aderenza
alle finalità che ne hanno suggerito l’installazione, tenendo conto dei principi fissati dall’art. 9
della legge n. 675/1996, con particolare riguardo a quelli di pertinenza e di non eccedenza dei
dati raccolti rispetto agli scopi perseguiti; inoltre, l’attività di videocontrollo, oggetto di preven-
tiva informativa agli utenti ex art. 10 della legge n. 675/1996, dovrà permettere di cogliere in
modo solo panoramico l’interno delle vetture o l’ambito delle singole fermate, in maniera da evi-
tare non solo riprese talmente particolareggiate da risultare intrusive della riservatezza o da con-
sentire la rilevazione di particolari non rilevanti, ma anche da impedire la violazione delle previ-
sioni di cui all’art. 4 della legge n. 300/1970 (in riferimento alle postazioni di guida degli autisti).
Infine, le immagini acquisite, accessibili in chiaro da una “stazione di lettura” sulla scorta di un
sistema di “doppia chiave” congiunta (una in possesso del personale dell’azienda all’uopo pre-
posto, l’altra in possesso dell’autorità di polizia), dovranno essere custodite – unitamente ai
sistemi di lettura – con adeguati sistemi di sicurezza, e potranno essere visionate soltanto in
occasione della commissione di atti criminosi ritualmente denunziati.
• Garante 23 marzo 1999, in Bollettino n. 8, pag. 57 (v. anche www.garanteprivacy.it: doc. n. 40899)

Sanità
Profili generali

La notificazione del trattamento di dati sulla salute da parte di un’azienda ospedaliera


dev’essere effettuata in forma semplificata, anche a prescindere dal mancato richiamo, da parte
dell’art. 7, comma 5 bis, lett. a) della legge n. 675/1996, dell’art. 23 della stessa legge.

Garante 22 maggio 1998, in Bollettino n. 4, pag. 54 (v. anche www.garanteprivacy.it: doc. n. 41937)

La legge n. 675/1996 non ha abrogato il regime di pubblicità delle deliberazioni comunali e


provinciali contenuto nella legge n. 142/1990 e, per quanto concerne la regione Trentino Alto-Adige,
nella legge regionale n. 1/1993: tali normative permettono la conoscibilità pressocché indifferen-
ziata di tali delibere attraverso la loro pubblicazione nei rispettivi albi pretori. In ogni caso, riman-
gono fermi il divieto di diffusione dei dati idonei a rivelare lo stato di salute (art. 23, comma 4 della
legge n. 675/1996), nonché i requisiti di pertinenza e non eccedenza dei dati (art. 9), che obbligano
le amministrazioni ad operare una selezione delle informazioni – specie sensibili – il cui inseri-
mento sia necessario per la realizzazione delle finalità cui le singole delibere sono preordinate.
• Garante 26 ottobre 1998, in Bollettino n. 6, pag. 133 (v. anche www.garanteprivacy.it: doc. n. 30951)

144 Massimario 1997/2001 • Soggetti pubblici


I soggetti pubblici, a differenza dei privati e degli enti pubblici economici, non devono
richiedere il consenso degli interessati e l’autorizzazione del Garante per poter trattare i dati sen-
sibili, ma devono verificare che tali trattamenti siano conformi a puntuali disposizioni di legge che
specifichino i tipi dei dati che possono trattati, le operazioni eseguibili e le rilevanti finalità di inte-
resse pubblico perseguite (fattispecie anteriore all’entrata in vigore del d.lg. n. 135/1999).
• Garante 14 maggio 1999, in Bollettino n. 8, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 38977)

Ai fini del trattamento dei dati sensibili e di carattere giudiziario, i soggetti pubblici devono
procedere alla notificazione una tantum in forma semplificata ex art. 7, comma 5 bis della legge
n. 675/1996, ad eccezione dei trattamenti finalizzati all’adempimento di specifici obblighi con-
tabili, retributivi, previdenziali, assistenziali e fiscali, per i quali, invece, vale l’esonero stabilito
dal comma 5 ter, lett. e) dello stesso articolo. Ove dovuta, la notificazione dev’essere redatta
secondo il modello approvato dal Garante.
• Garante 14 maggio 1999, in Bollettino n. 8, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 38977)

Non risulta conforme al principio di pertinenza nel trattamento dei dati in relazione alle
finalità perseguite, posto dall’art. 9, comma 1, lett. a) e d) della legge n. 675/1996, la disposi-
zione dell’art. 381 del d.P.R. n. 495/1992 (reg. att. del nuovo codice della strada, introdotto con
d.lg. n. 285/1992) che prevede la diffusione, mediante esposizione nei relativi contrassegni, dei
dati personali (generalità, indirizzo o, alternativamente, fotocopia di un documento di identità)
dei titolari di permessi di accesso a zone a traffico limitato, attribuiti a determinate categorie di
soggetti, o di autorizzazione alla sosta, concesse in favore dei portatori di handicap motorio. Ad
assicurare l’esercizio della funzione amministrativa di controllo sulla liceità e sul corretto utilizzo
di detti permessi è, infatti, sufficiente l’esposizione sui contrassegni, nel primo caso, del numero
di targa e di quello del permesso, nel secondo, dell’indicazione del Comune competente e del
numero di autorizzazione, mentre le generalità del titolare, al fine della immediata conoscibilità
da parte di un pubblico ufficiale che le richieda, possono essere riportate sul retro del contras-
segno, celate alla immediata visibilità dall’esterno del veicolo.

Garante 7 giugno 1999, in Bollettino n. 9, pag. 14 (v. anche www.garanteprivacy.it: doc. n. 40983)

Ai sensi dell’art. 23, comma 4 della legge n. 675/1996, “la diffusione dei dati idonei a rive-
lare lo stato di salute è vietata”. Pertanto, la divulgazione di dati personali ad organi di stampa,
in ordine allo stato di salute di una persona, in assenza di un consenso dell’interessato o dei suoi
legittimi rappresentanti, è illegittima a prescindere dalla loro esattezza.
• Garante 16 giugno 1999, in Bollettino n. 9, pag. 63 (v. anche www.garanteprivacy.it: doc. n. 40049)

Il trattamento dei dati sensibili costituiti dalle informazioni contenute nelle schede di
dimissione ospedaliera – disciplinate dal d.m. del 26/7/93 – e dai relativi sistemi di codifica deve

SETTORI DI ATTIVITÀ > SANITÀ > 145


PROFILI GENERALI
ritenersi compreso tra le attività di rilevante interesse pubblico rientranti nei compiti del Servizio
sanitario nazionale individuate dall’art. 17, comma 1, lett. b) del d.lg. n. 135/1999 e, in partico-
lare, nelle attività concernenti “la programmazione, la gestione, il controllo e la valutazione del-
l’assistenza sanitaria”.
• Garante 4 ottobre 1999, in Bollettino n. 10, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 40413)

La diffusione e la pubblicazione delle informazioni rilevate attraverso le schede di dimis-


sione ospedaliera può essere effettuata esclusivamente in forma anonima (art. 23, comma 4
della legge n. 675/1996).
• Garante 4 ottobre 1999, in Bollettino n. 10, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 40413)

L’indicazione, all’interno di una memoria difensiva depositata da una compagnia d’assicu-


razione in un procedimento ex art. 29 della legge n. 675/1996, della patologia sofferta dall’inte-
ressato, si risolve in una mera comunicazione di dati effettuata nei confronti del Garante e del
ricorrente; tale trattamento, secondo quanto previsto dall’art. 22, comma 4, della legge e dal-
l’autorizzazione generale rilasciata dal Garante, costituendo espressione del diritto di difesa,
non è soggetto a consenso dell’interessato.
• Garante 13 ottobre 1999, in Bollettino n. 11/12, pag. 61 (v. anche www.garanteprivacy.it: doc. n. 42098)

Il d.lg. n. 135/1999 ha stabilito che i dati anagrafici devono essere conservati separata-
mente da quelli sanitari che, invece, se contenuti in elenchi, registri o banche dati devono essere
trattati con “tecniche di cifratura o codici identificativi che consentano di identificare gli interes-
sati solo in caso di necessità” (art. 3, commi 4 e 5).
• Garante 27 ottobre 1999, in Bollettino n. 10, pag. 12 (v. anche www.garanteprivacy.it: doc. n. 41167)
• Garante 27 ottobre 1999, in Bollettino n. 10, pag. 15 (v. anche www.garanteprivacy.it: doc. n. 39744)

Il trattamento dei dati sensibili costituiti dalle informazioni finalizzate all’esenzione


dalla partecipazione al costo delle malattie rare deve ritenersi compreso tra le attività di rile-
vante interesse pubblico rientranti nei compiti del Servizio sanitario nazionale individuate dal-
l’art. 17, comma 1, lett. b) e h) del d.lg. n. 135/1999 e, in particolare, nelle attività concernenti
“la programmazione, la gestione, il controllo e la valutazione dell’assistenza sanitaria” e “l’in-
staurazione, la gestione, la pianificazione ed il controllo dei rapporti tra l’amministrazione ed
i soggetti accreditati o convenzionati del Servizio sanitario nazionale”.
• Garante 27 ottobre 1999, in Bollettino n. 10, pag. 12 (v. anche www.garanteprivacy.it: doc. n. 41167)

Il trattamento dei dati sensibili costituiti dalle informazioni relative alla istituzione presso
l’I.s.p.e.l.s. del registro nazionale dei casi di mesotelioma-asbesto correlati deve ritenersi com-
preso tra le attività di rilevante interesse pubblico rientranti nei compiti del Servizio sanitario

146 Massimario 1997/2001 • Soggetti pubblici


nazionale individuate dall’art. 17 , comma 1, lett. e) ed f ) del d.lg. n. 135/1999 e, in particolare,
nelle attività concernenti “il monitoraggio epidemiologico, ivi compresi la sorveglianza della
emergenza o riemergenza delle malattie, e degli eventi avversi nelle vaccinazioni, i registri di
patologia e la gestione della profilassi internazionale”, nonché tra quelle concernenti “l’applica-
zione della normativa in materia di igiene e sicurezza nei luoghi di lavoro e di sicurezza e salute
della popolazione”.
• Garante 27 ottobre 1999, in Bollettino n. 10, pag. 15 (v. anche www.garanteprivacy.it: doc. n. 39744)

Poiché a seguito dell’entrata in vigore del d.lg. n. 135/1999 sono lecite (art. 4) le sole ope-
razioni di trattamento dei dati sensibili – inclusa la comunicazione – da parte di soggetti pubblici
strettamente necessarie al perseguimento delle finalità per le quali il trattamento è consentito,
non può più ritenersi ammissibile comunicare taluni dati ad associazioni ed enti che tutelano le
diverse categorie di invalidi in base ai compiti previsti dal proprio assetto istituzionale o statu-
tario, salvo che tale comunicazione non sia ritenuta indispensabile per il raggiungimento della
rilevante finalità pubblica perseguita dalle competenti amministrazioni.
• Garante 1 dicembre 1999, in Bollettino n. 11/12, pag. 14 (v. anche www.garanteprivacy.it: doc. n. 40731)

In base alle disposizioni introdotte dal d.lg. n. 135/1999, i soggetti pubblici possono com-
piere sui dati sensibili soltanto le operazioni di trattamento – incluse la raccolta e la comunica-
zione – strettamente necessarie per perseguire i singoli scopi, verificando anche periodicamente
la pertinenza e non eccedenza delle informazioni utilizzate, nonché la loro necessità rispetto alle
finalità perseguite nei singoli casi (artt. 3 e 4); inoltre, i dati idonei a rivelare lo stato di salute o
la vita sessuale devono essere conservati separatamente da ogni altro dato personale trattato
per finalità che non richiedono il loro utilizzo e, ove contenuti in banche dati, elenchi o registri
non cartacei, al pari degli altri dati sensibili debbono essere trattati con tecniche di cifratura o
mediante l’utilizzazione di codici identificativi o di altri sistemi che, tenuto conto del numero e
della natura dei dati trattati, permettono di identificare gli interessati solo in caso di necessità.
• Garante 1 dicembre 1999, in Bollettino n. 11/12, pag. 14 (v. anche www.garanteprivacy.it: doc. n. 40731)

A seguito dell’entrata in vigore del d.lg. n. 135/1999, le amministrazioni pubbliche, nel trat-
tare i dati sensibili, sono tenute non solo a verificare il costante rispetto dei diritti, delle libertà
fondamentali e della dignità degli interessati, ma anche a provvedere affinché i dati idonei a rive-
lare lo stato d’invalidità siano trattati solo quando non sia possibile effettuare altrimenti i singoli
adempimenti o passaggi procedurali volti al riconoscimento dei benefici. Nello svolgimento dei
compiti in materia di invalidità civile, anche per ciò che riguarda verifiche e controlli, le ammini-
strazioni non incontrano alcun ostacolo nella normativa sui dati personali: esse, però, sono
tenute a modulare con particolare attenzione la raccolta, la custodia e i flussi di dati, indivi-
duando anche nei riguardi di quali fasi e di quali documenti o soggetti sia realmente essenziale
menzionare in tutto o in parte alcune informazioni sullo stato di salute.
• Garante 1 dicembre 1999, in Bollettino n. 11/12, pag. 14 (v. anche www.garanteprivacy.it: doc. n. 40731)

DIRITTI DELL’INTERESSATO > SANITÀ > 147


PROFILI GENERALI
Il d.lg. n. 135/1999, recante disposizioni integrative della legge n. 675/1996, circa il tratta-
mento dei dati sensibili da parte dei soggetti pubblici prevede che gli organismi sanitari che trat-
tano dati idonei a rivelare lo stato di salute rispettino i principi di correttezza e di pertinenza san-
citi dall’art. 9 della legge n. 675/1996, adottando specifiche cautele a tutela della riservatezza
degli interessati; tra queste, particolarmente significativa è quella secondo cui i dati anagrafici
devono essere conservati separatamente da quelli sanitari che, se contenuti in elenchi, registri
o banche dati, ai sensi dell’art. 3, commi 4 e 5, d.lg. n. 135/1999 devono essere trattati con tec-
niche di cifratura, mediante l’utilizzazione di codici identificativi o di altri sistemi che permettano
di risalire agli interessati solo in caso di necessità.
• Garante 16 febbraio 2000, in Bollettino n. 11/12, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 30907)

Ai sensi dell’art. 23, comma 2, della legge n. 675/1996, spetta al titolare del trattamento la
nomina del medico tramite il quale comunicare i dati relativi allo stato di salute all’interessato
che glieli abbia richiesti attraverso l’istanza di cui all’art. 13 della legge, qualora l’interessato
stesso dichiari di non volervi provvedere.
• Garante 13 febbraio 2001, in Bollettino n. 17, pag. 19 (v. anche www.garanteprivacy.it: doc. n. 42248)

Costituisce illegittimo trattamento dei dati personali, anche di natura sensibile, la comuni-
cazione, da parte del datore di lavoro, indistintamente ai singoli medici che hanno rilasciato
alcuni certificati giustificativi di varie assenze per malattia di una dipendente, nonché all’Ordine
provinciale dei medici e ad una A.S.L., di dati della dipendente e della di lei figlia minore, atti-
nenti alle ragioni delle singole assenze – non tutte per malattia – e alla consecutività dei relativi
periodi di mancata prestazione lavorativa. Con tale comportamento vengono violati i principi di
pertinenza e non eccedenza fissati dall’art. 9 della legge n. 675/1996, nonché le tutele specifi-
camente apprestate a garanzia del trattamento dei dati sensibili – nella specie, attinenti allo
stato di salute – dall’art. 22 della legge.
• Garante 24 settembre 2001, in Bollettino n. 22, pag. 48 (v. anche www.garanteprivacy.it: doc. n. 39460)

Non viola i principi di pertinenza e non eccedenza fissati dall’art. 9 della legge n. 675/1996
il datore di lavoro che comunica all’I.n.p.s. i dati del dipendente assente anche per un solo
giorno, al fine del controllo sullo stato di malattia, in considerazione della normativa di legge e
di quella contrattuale di settore che prevedono la possibilità di controlli e visite fiscali fin dal
primo giorno di assenza.
• Garante 28 settembre 2001, in Bollettino n. 22, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 41103)

Ai sensi dell’art. 3, comma 5, del d.lg. n. 135/1999, il trattamento dei dati idonei a rivelare
lo stato di salute dei dipendenti di un soggetto pubblico è sottoposto a particolari obblighi e cau-
tele che impongono, tra l’altro, la conservazione separata di detti dati da ogni altro dato perso-

148 Massimario 1997/2001 • Soggetti pubblici


nale dell’interessato; tale principio di tendenziale separazione, peraltro, che si concreta soprat-
tutto sul piano della custodia dei dati, deve trovare attuazione anche con riferimento ai fascicoli
personali cartacei dei dipendenti dell’I.n.p.s., con conseguente obbligo dell’Istituto di preporre
alla loro custodia apposito personale, specificamente istruito sulle finalità e sulle cautele indi-
cate dal d.lg. n. 135/1999.
• Garante 30 ottobre 2001, in Bollettino n. 23, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 39085)

Casi particolari

Acquisizione di documentazione sanitaria da parte di società di


assicurazioni

È improponibile l’istanza al Garante volta ad ottenere la caducazione o la disapplicazione


di una clausola contrattuale relativa all’acquisizione, da parte di una società assicuratrice, delle
cartelle cliniche inerenti ai sinistri denunziati; infatti, ove adìto, il Garante, ricorrendone i pre-
supposti, ha soltanto il potere di disporre il blocco o il divieto di trattare i dati, ma non anche di
incidere direttamente sul rapporto contrattuale e sugli obblighi reciprocamente assunti dalle
parti, la cui invalidità o esigenza di riformulazione può essere fatta valere soltanto attraverso gli
appositi strumenti civilistici.
• Garante 12 aprile 1999, in Bollettino n. 8, pag. 42 (v. anche www.garanteprivacy.it: doc. n. 39921)

È conforme ai principi fissati dalla legge n. 675/1996 la prassi assicurativa di prendere


visione e di chiedere copia dei documenti sanitari inerenti ai sinistri documentati, risolvendosi
essa in operazioni di trattamento che, oltre ad essere normalmente previste nelle condizioni
generali di contratto, sono necessarie per l’esecuzione delle polizze di malattia e, come tali, già
considerate dalle autorizzazioni generali rilasciate dal Garante.
• Garante 12 aprile 1999, in Bollettino n. 8, pag. 42 (v. anche www.garanteprivacy.it: doc. n. 39921)

A.I.D.S.

Premesso che la legge n. 675/1996 non ha abrogato le disposizioni contenute nella legge
n. 135/1990 (recante un programma di interventi urgenti per la prevenzione e la lotta contro
l’A.I.D.S.), ai fini dell’iscrizione nelle liste del collocamento obbligatorio non è richiesta la speci-
ficazione della diagnosi risultante dalla visita per il riconoscimento dell’invalidità civile e, in par-
ticolare, dell’eventuale presenza dell’infezione da H.I.V., essendo sufficiente l’indicazione della
percentuale di invalidità riscontrata, fermo restando che la certificazione della specifica patolo-
gia può essere richiesta al momento dell’inserimento nel posto di lavoro dell’interessato, il quale
è anche tenuto a fornire indicazioni dell’eventuale presenza dell’affezione da H.I.V. in vista dello

SETTORI DI ATTIVITÀ > SANITÀ > 149


CASI PARTICOLARI > ACQUISIZIONE DI DOCUMENTAZIONE SANITARIA DA PARTE DI SOCIETÀ DI ASSICURAZIONI
svolgimento di attività che comportino un serio rischio di contagio della malattia a terzi (cfr.
Corte Cost., sent. n. 218/1994).
• Garante 19 dicembre 1997, in Bollettino n. 2, pag. 60 (v. anche www.garanteprivacy.it: doc. n. 39168)

Le disposizioni della legge n. 135/1990 – la cui vigenza è stata confermata dalla legge
n. 675/1996 (art. 43, comma 2) – che sanciscono, tra l’altro, l’obbligo per gli operatori sanitari
che vengono a conoscenza di un caso di A.I.D.S. o di infezione da H.I.V. di comunicare i risultati
degli accertamenti diagnostici esclusivamente alle persone cui tali esami sono riferiti (art. 5),
prevalgono sulle norme regolamentari contenute nel d.m. n. 187/1997, che (art. 6) prevede che
la commissione medica competente ad accertare lo stato di inabilità a svolgere un’attività lavo-
rativa debba redigere un processo verbale, comprensivo del giudizio diagnostico, da trasmettere
all’amministrazione o all’ente che abbia richiesto l’accertamento. Ne consegue che la commis-
sione deve adottare ogni misura necessaria per tutelare la riservatezza della persona interessata
(es.: indicando la diagnosi relativa all’A.I.D.S. o all’H.I.V. in un documento riservato anziché nel
verbale).
• Garante 31 luglio 1998, in Bollettino n. 5, pag. 40 (v. anche www.garanteprivacy.it: doc. n. 39172)

Ai fini della tutela della riservatezza degli ammalati di A.I.D.S., l’accesso agli archivi elet-
tronici di una divisione di malattie infettive o di altri reparti ospedalieri, in cui i nominativi dei
pazienti risultino raccolti e conservati, dev’essere reso possibile soltanto ai dipendenti di detti
reparti e sempreché sussistano reali esigenze di accesso connesse a ragioni di assistenza e cura
dei singoli ammalati.
• Garante 7 gennaio 1999, in Bollettino n. 7, pag. 13 (v. anche www.garanteprivacy.it: doc. n. 38989)

La legge n . 675/1996 (art. 43, comma 2), all’atto della sua entrata in vigore, ha fatto salve
alcune specifiche disposizioni di legge, tra cui la legge n. 135/1990 in materia di A.I.D.S.. In par-
ticolare, detta legge, non solo obbliga “gli operatori sanitari che, nell’esercizio della loro profes-
sione, vengano a conoscenza di un caso di A.I.D.S., ovvero di un caso di H.I.V.” ad adottare “tutte
le misure occorrenti per la tutela della riservatezza della persona assistita” (art. 5, comma 1) e a
comunicare i risultati degli accertamenti diagnostici, diretti o indiretti, “esclusivamente alla per-
sona cui tali esami sono riferiti (art. 5, comma 4), ma altresì vieta “ai datori di lavoro, pubblici o
privati, lo svolgimento di indagini volte ad accertare nei dipendenti o in persone prese in consi-
derazione per l’instaurazione di un rapporto di lavoro l’esistenza di uno stato di sieropositività”.
Ne consegue che la richiesta di una U.L.S.S., volta ad ottenere, dal primario ospedaliero di una
divisione malattie infettive, la trasmissione di dati nominali e di indicazioni terapeutiche relative
ai singoli pazienti affetti da A.I.D.S., ove giustificata da mere esigenze di rilevamento di dati sul
consumo dei farmaci, si pone in contrasto con lo spirito della legge n. 135/1990, essendo diretta
esclusivamente a soddisfare finalità di tipo statistico-contabile, non pertinenti con le esigenze di
cura di tale categoria di ammalati.
• Garante 7 gennaio 1999, in Bollettino n. 7, pag. 13 (v. anche www.garanteprivacy.it: doc. n. 38989)

150 Massimario 1997/2001 • Soggetti pubblici


I principi di pertinenza e non eccedenza nel trattamento dei dati personali sanciti dall’art. 9
della legge n. 675/1996 obbligano anche gli organi di polizia e l’autorità giudiziaria a svolgere
l’attività di raccolta, utilizzazione e divulgazione dei dati con modalità tali da non recare agli inte-
ressati un pregiudizio ingiustificato rispetto alle finalità perseguite. Non appare rispettosa di
detti principi la divulgazione, da parte della polizia giudiziaria, attraverso organi di informazione,
di alcuni dati personali (fotografie e generalità) di una prostituta, che sia stato accertato essere
affetta dal virus dell’H.I.V., al fine di informare le persone che avevano avuto con la stessa rap-
porti a rischio, potendo la finalità informativa essere raggiunta, tenuto conto anche delle specifi-
che garanzie di riservatezza approntate per i soggetti sieropositivi dalla legge n. 135/1990, attra-
verso procedure più selettive, basate, ad esempio, sulla notizia della sieropositività di una per-
sona che pratichi abitualmente la prostituzione in una determinata zona, accompagnata dall’isti-
tuzione di un servizio di informazione ed assistenza (es.: un numero verde) cui gli interessati
potessero rivolgersi.
• Garante 13 aprile 1999, in Bollettino n. 10, pag. 72 (v. anche www.garanteprivacy.it: doc. n. 39077)

Premesso che la legge n. 675/1996 non ha abrogato le disposizioni della legge n. 135/1990
in materia di A.I.D.S. ma, anzi, ne ha confermato la vigenza, purché con essa compatibili (art. 43,
comma 2), la trasmissione del giudizio diagnostico relativo all’accertamento dell’infezione da
H.I.V. al tribunale per i minorenni da parte delle A.S.L., incaricate dal tribunale di sottoporre ad
indagini mediche le persone che hanno presentato domanda di adozione, non appare conforme
al dettato normativo della legge n. 135/1990, che impone il mantenimento di un rigoroso rispetto
della riservatezza delle persone affette da A.I.D.S. (v. art. 5, secondo il quale i risultati degli
accertamenti vanno comunicati “esclusivamente alla persona cui tali esami sono riferiti”). Un
adeguato bilanciamento tra l’interesse dei minori ad un ambiente familiare stabile ed armonioso,
cui è preordinata la procedura descritta, e il diritto degli adottanti al rispetto della propria riser-
vatezza, può essere costituito dalla instaurazione di una prassi secondo la quale ciascun
coniuge, informato dal medico delle proprie condizioni di salute, provveda personalmente a pro-
durre la documentazione al tribunale per i minorenni, decidendo se rimettere il giudizio diagno-
stico di A.I.D.S. al giudice che è tenuto a valutare l’idoneità dell’adozione, ovvero se ritirare la
domanda, evitando l’ulteriore corso del procedimento.
• Garante 15 luglio 1999, in Bollettino n. 9, pag. 77 (v. anche www.garanteprivacy.it: doc. n. 42022)

Il particolare regime di tutela previsto dal nostro ordinamento per le informazioni rela-
tive all’A.I.D.S. e all’infezione H.I.V. si inserisce nel più generale quadro di garanzie stabilite
dalla legge n. 675/1996 per il trattamento dei dati idonei a rivelare lo stato di salute e dal
d.P.R. 318/1999 in tema di misure di sicurezza.
• Garante 16 febbraio 2000, in Bollettino n. 11/12, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 30907)

DIRITTI DELL’INTERESSATO> SANITÀ > 151


CASI PARTICOLARI > ACQUISIZIONE DI DOCUMENTAZIONE SANITARIA DA PARTE DI SOCIETÀ DI ASSICURAZIONI
La normativa in materia di protezione dei dati personali, perseguendo finalità analoghe a
quelle cui sono preordinate alcune disposizioni della legge n. 135/1990 in materia di A.I.D.S.,
non ha abrogato tali norme, confermandone piuttosto, ai sensi dell’art. 43, comma 2, della legge
n. 675/1996, la vigenza laddove non incompatibili; tale principio non è stato modificato dal
d.lg. n. 282/1999, che reca disposizioni di modifica ed integrazione della legge n. 675/1996 in
relazione al trattamento dei dati personali in ambito sanitario, pur sempre nel rispetto di nor-
mative più restrittive, quale quella in tema di A.I.D.S..
• Garante 16 febbraio 2000, in Bollettino n. 11/12, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 30907)

La circostanza che non tutti i principi posti dalla legge n. 675/1996 siano stati ulterior-
mente sviluppati sul piano normativo in relazione alle attività di giustizia non deve far ritenere
inoperanti detti principi, che dovrebbero essere attualmente tradotti in concrete misure attuative
anche di carattere organizzativo, opportunamente modulate in rapporto alle diverse vicende pro-
cessuali. In questa prospettiva, si pone una recente tendenza dell’ordinamento a tutelare in ogni
sede, in modo particolarmente rigoroso, la dignità e la riservatezza di persone sieropositive o
malate di A.I.D.S. o emotrasfusi, come dimostrato, oltre che dall’art. 286 bis del c.p.p. in tema di
custodia cautelare in caso di infezione da H.I.V. o di A.I.D.S., anche da specifiche disposizioni di
settore che, pur non individuando specifiche cautele processuali, impongono, a seconda dei
casi, agli operatori sanitari o a “chiunque” venga a conoscenza di particolari infezioni nell’eser-
cizio delle proprie funzioni, di adottare, nell’ambito delle proprie competenze, tutte le misure
occorrenti per la tutela della riservatezza della persona assistita (art. 5 della legge n. 135/1990
e art. 3, comma 1 bis, della legge n. 210/1992).
• Garante 21 febbraio 2000, in Bollettino n. 11/12, pag. 9 (v. anche www.garanteprivacy.it: doc. n. 40237)

La legge n. 675/1996 non ha abrogato le disposizioni della normativa in materia di A.I.D.S.


(legge n. 135/1990) ma, anzi, ne ha confermato la vigenza (v. art. 43, comma 2).

Garante 18 maggio 2000, in Bollettino n. 13, pag. 32 (v. anche www.garanteprivacy.it: doc. n. 30935)

Premesso che la normativa in materia di protezione dei dati personali posta dalla legge
n. 675/1996 non ha abrogato ma, anzi, ha confermato (art. 43, comma 2) le disposizioni conte-
nute nella legge n. 135/1990 in materia di A.I.D.S., va rilevato che il d.lg. 135/1999 sul tratta-
mento di dati sensibili effettuato da soggetti pubblici considera di rilevante interesse pubblico il
trattamento dei dati strettamente necessario allo svolgimento delle funzioni di controllo, di indi-
rizzo politico e di sindacato ispettivo atte a consentire l’espletamento di un mandato elettivo,
quale quello dei consiglieri comunali. Peraltro, il diritto di accesso ai dati da parte dei predetti
incontra un limite nel rispetto dei principi di pertinenza, essenzialità e compatibilità con la fun-
zione perseguita, ribaditi, anche in materia di dati sensibili, dagli artt. 1 - 5 del citato d.lg..
• Garante 8 febbraio 2001, in Bollettino n. 17, pag. 5 (v. anche www.garanteprivacy.it: doc. n. 49240)

152 Massimario 1997/2001 • Soggetti pubblici


Attività sportiva agonistica

I dati personali relativi a fenomeni di doping nello svolgimento dell’attività sportiva pos-
sono assumere la natura di dati sensibili – pur non essendo espressamente considerati tali dal-
l’art. 22, comma 1 della legge n. 675/1996 – quando il loro trattamento comprenda o faccia emer-
gere informazioni riguardanti, sotto qualunque profilo, lo stato di salute degli interessati.
• Garante 22 giugno 1998, in Bollettino n. 5, pag. 46 (v. anche www.garanteprivacy.it: doc. n. 31035)

Benché la legge n. 675/1996 e le autorizzazioni del Garante vietino la diffusione dei dati
idonei a rivelare lo stato di salute dell’interessato (con l’eccezione rappresentata dalla fattispe-
cie contenuta nell’art. 24, comma 4 della legge), tuttavia l’interessato conserva il diritto di ren-
dere pubbliche o meno, anche per interposta persona, le proprie condizioni di salute. Pertanto,
considerata la tendenza invalsa a rendere note talune circostanze relative alla forma degli atleti
impegnati nelle attività agonistiche, le società sportive, oltre ad acquisire il consenso degli atleti
a trattare i dati relativi al loro stato di salute, possono ottenere, a parte, la “delega” a rendere
pubbliche talune circostanze rilevanti per l’interesse pubblico sotteso alle attività stesse, da
individuarsi una tantum ma con precisione, anche con riferimento a determinate categorie di
informazioni.
• Garante 22 giugno 1998, in Bollettino n. 5, pag. 46 (v. anche www.garanteprivacy.it: doc. n. 31035)

Il giudizio di idoneità all’esercizio dell’attività sportiva agonistica, in quanto dato deno-


tante la normalità psicofisica del soggetto, può ritenersi compreso fra i dati personali “comuni”.
Al contrario, il referto di inidoneità all’esercizio dell’attività sportiva agonistica, che presuppone
nell’interessato la presenza di patologie o, comunque, la necessità di evitare potenziali rischi
indotti dalla pratica agonistica, assume invece la connotazione di “dato sensibile”, ai sensi del-
l’art. 22, comma 1 della legge n. 675/1996.
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 111 (v. anche www.garanteprivacy.it: doc. n. 41878)

A.V.I.S.

Ai sensi dell’art. 22 della legge n. 675/1996, il trattamento dei dati sensibili da parte di pri-
vati o di enti pubblici economici può avvenire soltanto con il consenso scritto e l’autorizzazione
del Garante (art. 22, comma 1), mentre qualora ad effettuare detto trattamento siano dei soggetti
pubblici è sufficiente l’esistenza di una puntuale disposizione di legge che specifichi i dati che
possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico per-
seguite (art. 22, comma 3); ne consegue che l’A.V.I.S., quale soggetto privato, ai fini del tratta-
mento dei dati idonei a rivelare lo stato di salute rilevabili dalle schede relative ai donatori di san-
gue, è tenuta ad acquisire – previa informativa ai sensi dell’art. 10 della legge – il consenso
scritto di ciascun interessato e la preventiva autorizzazione del Garante, peraltro già rilasciata

SETTORI DI ATTIVITÀ > SANITÀ > 153


CASI PARTICOLARI > ATTIVITÀ SPORTIVA AGONISTICA
con apposito provvedimento generale.
• Garante 29 maggio 1998, in Bollettino n. 4, pag. 22 (v. anche www.garanteprivacy.it: doc. n. 30847)

Cartelle cliniche

Le cartelle cliniche e, in genere, le certificazioni rilasciate dai laboratori di analisi o da altri


organismi sanitari possono essere ritirate anche da persone diverse dagli interessati, purché
provviste di adeguata delega scritta rilasciata dall’interessato e sempre che tali documenti siano
inseriti in busta chiusa.
• Garante 30 giugno 1997, in Bollettino n. 1, pag. 33 (v. anche www.garanteprivacy.it: doc. n. 39320)

I dati personali oggetto d’istanza d’accesso debbono essere comunicati in forma intelligi-
bile dal titolare del trattamento che, ai fini di una più efficace applicazione dell’art. 13 della legge
n. 675/1996, ai sensi dell’art. 17, comma 9, del d.P.R. n. 501/1998 è tenuto ad adottare le oppor-
tune misure volte ad agevolare l’accesso dell’interessato. Ne consegue che dev’essere accolto il
ricorso diretto a conoscere il significato di alcuni codici utilizzati nella formulazione di una dia-
gnosi e ad ottenere una trascrizione dattiloscritta di alcune parti della documentazione conser-
vata nella cartella clinica dell’interessato, riportanti con grafia illeggibile elementi e dati perso-
nali del ricorrente stesso.
• Garante 26 marzo 2001, in Bollettino n. 18, pag. 9 (v. anche www.garanteprivacy.it: doc. n. 41910)

Comunicazione dei dati all’interessato

Ai sensi dell’art. 23, comma 2, della legge n. 675/1996, spetta al titolare del trattamento la
nomina del medico tramite il quale comunicare all’interessato i dati relativi allo stato di salute,
qualora questi dichiari di non volervi provvedere.
• Garante 13 febbraio 2001, in Bollettino n. 17, pag. 19 (v. anche www.garanteprivacy.it: doc. n. 42248)

Nell’ipotesi in cui l’interessato, nella richiesta d’accesso inoltrata ai sensi dell’art. 13 della
legge n. 675/1996, abbia specificamente indicato il nominativo di un medico fiduciario, la comu-
nicazione dei dati attinenti allo stato di salute dev’essere effettuata dal titolare del trattamento
solo per il tramite di detto medico.
• Garante 8 maggio 2001, in Bollettino n. 20, pag. 26 (v. anche www.garanteprivacy.it: doc. n. 41083)

Ai sensi dell’art. 23, comma 2, della legge n. 675/1996, la comunicazione dei dati personali
idonei a rivelare lo stato di salute può avvenire solo per il tramite di un medico designato dallo

154 Massimario 1997/2001 • Soggetti pubblici


stesso interessato o dal titolare del trattamento. Ne consegue che non è conforme alla legge la
comunicazione di detti dati ove effettuata direttamente all’interessato presso il domicilio eletto.
• Garante 12 dicembre 2001, in Bollettino n. 23, pag. 33 (v. anche www.garanteprivacy.it: doc. n. 39200)

Consulenze e perizie medico legali

Le perizie svolte dai consulenti tecnici nominati dall’autorità giudiziaria rientrano fra i trat-
tamenti di dati personali effettuati nell’ambito di uffici giudiziari “per ragioni di giustizia” che, ai
sensi dell’art. 4 della legge n. 675/1996, sono sottratti all’applicazione delle disposizioni che
l’art. 22 della legge detta in tema di trattamento di dati sensibili; per l’effettuazione di tali trat-
tamenti non occorre quindi acquisire previamente il consenso dell’interessato.
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 125 (v. anche www.garanteprivacy.it: doc. n. 39608)

Ai sensi dell’art. 23, comma 2 della legge n. 675/1996, i dati personali riferiti allo stato di
salute contenuti in una perizia medico legale possono essere comunicati solo per il tramite di un
medico fiduciario nominato dall’interessato o, in difetto, dal titolare del trattamento.
• Garante 30 dicembre 1999, in Bollettino n. 11/12, pag. 66 (v. anche www.garanteprivacy.it: doc. n. 40847)

Dati genetici

Qualora il benessere psico-fisico di una persona possa trovare adeguata tutela soltanto
attraverso l’accesso a dati sanitari di un terzo, contenuti in cartelle cliniche custodite da un orga-
nismo sanitario pubblico, il diritto alla riservatezza dell’interessato, nell’ambito di un’indispen-
sabile attività di bilanciamento dei contrapposti interessi, può essere oggetto di un ragionevole
sacrificio. Inoltre, in siffatta ipotesi, l’accesso ai dati non può subire preclusioni basate sulle dis-
posizioni in tema di segreto professionale, giacché la ragione della tutela della salute di colui che
aspira a conoscere dette informazioni integra gli estremi della “giusta causa” di cui all’art. 622
c.p., che legittima i sanitari ad effettuare comunicazioni normalmente coperte da segreto pro-
fessionale. In ogni caso, l’accesso ai dati resta soggetto ai principi di correttezza, pertinenza ed
essenzialità fissati dall’art. 9 della legge n. 675/1996, nonché a tutte le cautele necessarie sotto
il profilo della sicurezza del trattamento (fattispecie relativa alla richiesta di una donna, affetta
da gravissima patologia, di conoscere i dati genetici del padre, affetto da identica malattia, al
fine della valutazione del rischio procreativo).
• Garante 22 maggio 1999, in Bollettino n. 8, pag. 13 (v. anche www.garanteprivacy.it: doc. n. 39188)

Nell’ordinamento giuridico italiano manca una definizione di dato genetico. Pertanto, allo
stato, può tenersi conto della nozione di dato genetico contenuta nella raccomandazione

SETTORI DI ATTIVITÀ > SANITÀ > 155


CASI PARTICOLARI > DATI GENETICI
N.R. (97) 5 adottata dal Consiglio d’Europa, alla quale fa esplicito riferimento anche la legge
delega n. 676/1996, che ricomprende “tutti i dati, indipendentemente dalla tipologia, che riguar-
dano i caratteri ereditari di un individuo o le modalità di trasmissione di tali caratteri nell’ambito
di un gruppo di individui legati da vincoli di parentela”.
• Garante 22 maggio 1999, in Bollettino n. 8, pag. 13 (v. anche www.garanteprivacy.it: doc. n. 39188)

Esercenti le professioni sanitarie

Il medico generico che, nell’esercizio della sua professione, sia chiamato a sostituire un
altro medico generico, ha la facoltà di utilizzare lo schedario dei pazienti formato dal collega
sostituito, purché il paziente abbia espresso sin dall’inizio uno specifico consenso al trattamento
dei dati personali sia nei confronti del medico di fiducia che in favore di eventuali suoi sostituti.
• Garante 30 giugno 1997, in Bollettino n. 1, pag. 33 (v. anche www.garanteprivacy.it: doc. n. 39320)

Il medico di base deve ottenere il consenso dell’interessato quando il trattamento dei dati
è rivolto alla cura dell’interessato stesso; il consenso non deve essere necessariamente acqui-
sito caso per caso, ma può essere richiesto dal medico una tantum, in relazione al complesso
delle attività poste in essere nei confronti dell’assistito.
• Garante 12 ottobre 1998, in Bollettino n. 6, pag. 45 (v. anche www.garanteprivacy.it: doc. n. 39524)

Gli esercenti le professioni sanitarie, in conformità alle disposizioni contenute nell’auto-


rizzazione del Garante, e previa acquisizione del consenso scritto dell’interessato, sono tenuti
a trattare i dati idonei a rivelare lo stato di salute dei pazienti, al fine di ottemperare agli spe-
cifici obblighi imposti dalla normativa in materia di adempimenti documentali e contabili
(v. d.P.R. n. 633/1972 e d.P.R. n. 600/1973, così come modificati dalla legge n. 662/1996), che
prevede la specificazione degli elementi attinenti alla prestazione professionale, con partico-
lare riferimento alla natura e alla quantità dei beni e servizi forniti.
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 31 (v. anche www.garanteprivacy.it: doc. n. 40297)

L’ampia nozione di “trattamento” contenuta nell’art. 1, comma 2, lett. b) della legge


n. 675/1996 comprende qualunque operazione o complesso di operazioni, svolte con mezzi sia
automatizzati sia cartacei, che concernono la raccolta, la registrazione, l’organizzazione, la con-
servazione e l’elaborazione dei dati, anche ove non registrati in archivi; pertanto, l’esercizio, da
parte di un medico, di attività diagnostica comporta necessariamente un trattamento di dati, sia
comuni che sensibili, con la conseguenza che questi, ai sensi degli artt. 10, 22 comma 1 e 23 della
legge, è tenuto ad informare i propri pazienti sul trattamento stesso e ad acquisire dai medesimi
il consenso scritto.
• Garante 9 gennaio 1999, in Bollettino n. 7, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 31031)

156 Massimario 1997/2001 • Soggetti pubblici


Il consenso scritto che legittima il medico di base a comunicare a terzi i dati relativi allo
stato di salute del singolo assistito non dev’essere necessariamente acquisito con un atto ad
hoc, essendo sufficiente anche una sua acquisizione una tantum, purché riferita al complesso
delle ordinarie attività concernenti il rapporto professionale in essere con l’assistito.
• Garante 3 marzo 1999, in Bollettino n. 8, pag. 11 (v. anche www.garanteprivacy.it: doc. n. 42316)

Ai sensi dell’art. 22, comma 1 della legge n. 675/1996, il medico di base può comunicare a
terzi i dati relativi alla salute dei propri assistiti soltanto sulla base del consenso scritto dei sin-
goli interessati.
• Garante 3 marzo 1999, in Bollettino n. 8, pag. 11 (v. anche www.garanteprivacy.it: doc. n. 42316)

Istituti di patronato ed assistenza sociale

Né la normativa in materia di igiene e sicurezza sul lavoro (d.lg. n. 626/1994), né il testo


unico recante disposizioni in materia di assicurazione obbligatoria contro gli infortuni sul lavoro
(d.P.R. n. 1124/1965 e successive modificazioni ed integrazioni) prevedono che gli istituti di
patronato ed assistenza sociale, che hanno personalità giuridica di diritto privato (art. 1 della
legge n. 112/1980), possano accedere, anche mediante presa visione, alla globalità degli elenchi
delle denunce di infortunio sul lavoro detenuti dalle autorità locali di pubblica sicurezza. Detti
istituti possono, quindi, conoscere esclusivamente i dati riguardanti gli assistiti dai quali
abbiano ricevuto esplicito mandato in tal senso.
• Garante 27 ottobre 1999, in Bollettino n. 10, pag. 76 (v. anche www.garanteprivacy.it: doc. n. 39584)

Pubblicazioni scientifiche

La diffusione su una rivista scientifica della riproduzione fotografica delle radiografie e di


altri dati clinici di una persona, benché non riferita a soggetto identificato con le sue complete
generalità, può essere considerata conforme alla previsione di cui all’art. 23, comma 4 della
legge n. 675/1996 (che vieta la diffusione dei dati idonei a rivelare lo stato di salute) soltanto nel
caso in cui l’interessato abbia rilasciato al medico apposita “delega” all’uopo.
• Garante 9 gennaio 1999, in Bollettino n. 7, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 31031)

La legge n. 675/1996, lungi dal pregiudicare l’informazione a contenuto medico-scientifico


su casi d’interesse degli specialisti di settore e del pubblico, tende soltanto ad evitare il rischio
che le informazioni diffuse rendano possibile risalire agli interessati che intendano mantenere
l’anonimato, i quali, peraltro, debbono essere completamente informati dal medico circa le carat-

SETTORI DI ATTIVITÀ> SANITÀ > 157


CASI PARTICOLARI > ISTITUTI DI PATRONATO ED ASSISTENZA SOCIALE
teristiche dell’eventuale pubblicazione scientifica che li riguardi. Ne consegue che, in tali casi, il
contemperamento delle esigenze della ricerca medica e scientifica con il diritto alla riservatezza
può essere raggiunto anche attraverso il richiamo, nell’ambito del testo oggetto di pubblica-
zione, delle sole iniziali delle generalità degli interessati, nonché attraverso l’eventuale ricorso a
nomi di fantasia o a codici numerici.
• Garante 9 gennaio 1999, in Bollettino n. 7, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 31031)

Servizio sanitario delle Ferrovie dello Stato

Ai sensi dell’art. 22 della legge n. 675/1996, il trattamento dei dati sensibili da parte di pri-
vati o di enti pubblici economici può avvenire soltanto con il consenso scritto e l’autorizzazione
del Garante (art. 22, comma 1), mentre qualora ad effettuare detto trattamento siano dei soggetti
pubblici è sufficiente l’esistenza di una puntuale disposizione di legge che specifichi i dati che
possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico per-
seguite (art. 22, comma 3); ne consegue che le Ferrovie dello Stato s.p.a., quale soggetto privato,
ai fini del trattamento dei dati idonei a rivelare lo stato di salute rilevabili da parte del servizio
sanitario interno, sono tenute ad acquisire – previa informativa ai sensi dell’art. 10 della legge –
il consenso scritto di ciascun interessato (sia esso un dipendente della società oppure un terzo)
e la preventiva autorizzazione del Garante (ove il trattamento non rientri nelle ipotesi già consi-
derate dalle autorizzazioni generali per il trattamento dei dati sensibili nei rapporti di lavoro e
per il trattamento dei dati idonei a rivelare lo stato di salute).
• Garante 29 maggio 1998, in Bollettino n. 4, pag. 23 (v. anche www.garanteprivacy.it: doc. n. 39260)

Sperimentazione dei farmaci

Al fine di individuare i limiti all’accesso da parte delle aziende farmaceutiche, che sponso-
rizzano la sperimentazione dei farmaci, alle cartelle cliniche dei pazienti interessati, è essenziale
verificare quale rapporto intercorre tra l’azienda ospedaliera presso cui si svolge la sperimenta-
zione e l’azienda farmaceutica stessa. Ove, infatti, quest’ultima svolga unicamente il ruolo di col-
laboratore “esterno” del trattamento dei dati, le cui scelte di fondo – e le relative responsabilità
– competono all’azienda ospedaliera, quest’ultima costituisce l’esclusivo titolare del tratta-
mento, che ha la facoltà di designare l’azienda sponsor quale “responsabile del trattamento”.
L’azienda farmaceutica assume, invece, la veste di autonomo titolare o contitolare del tratta-
mento, ove ne individui le finalità e le modalità di svolgimento in condizioni di autonomia
rispetto alla struttura ospedaliera.
• Garante 18 maggio 2000, in Bollettino n. 13, pag. 32 (v. anche www.garanteprivacy.it: doc. n. 30935)

158 Massimario 1997/2001 • Soggetti pubblici


Operazioni di trattamento dei dati
AVVERTENZA:
QUANTO AI DATI SENSIBILI, V. : CATEGORIE E REQUISITI DEI DATI PERSONALI > DATI SENSIBILI (P. 12)
QUANTO AI DATI SANITARI, V. : SOGGETTI PUBBLICI > SETTORI DI ATTIVITÀ > SANITÀ (P. 140)

Comunicazione e diffusione
Profili generali

L’informazione originariamente non associabile ad uno specifico interessato (c.d. dato ano-
nimo) può divenire “dato personale” ex art. 1 della legge n. 675/1996 allorché, attraverso una
successiva operazione di collegamento ad informazioni di diversa natura, risulti comunque ido-
nea a rendere identificabile un soggetto. Ne consegue che, ai sensi dell’art. 27, comma 3 della
legge n. 675/1996, in mancanza di specifiche norme di legge o di regolamento, non può ritenersi
consentita la comunicazione a privati, da parte di un soggetto pubblico, di dati statistici appa-
rentemente anonimi, qualora il campione dei dati da analizzare, benché richiesto per scopi scien-
tifici e di ricerca, per genere e consistenza numerica consenta di risalire ai diretti interessati.
• Garante 23 gennaio 1998, in Bollettino n. 3, pag. 24 (v. anche www.garanteprivacy.it: doc. n. 39568)

Ai sensi dell’art. 27, comma 3 della legge n. 675/1996, la divulgazione al pubblico, da parte
dei soggetti pubblici, delle informazioni a carattere personale, può essere effettuata solo ove
prevista da disposizioni di legge o di regolamento (o anche da norme statutarie, da considerarsi,
sul piano della gerarchia delle fonti, equipollenti a quelle regolamentari).
• Garante 23 gennaio 1998, in Bollettino n. 3, pag. 28 (v. anche www.garanteprivacy.it: doc. n. 41750)

Ai sensi dell’art. 27, comma 1 della legge n. 675/1996, i soggetti pubblici non devono
richiedere il consenso degli interessati per poter trattare i relativi dati personali, ma devono sol-
tanto verificare che i singoli trattamenti e le categorie di dati siano riconducibili alle proprie fina-
lità istituzionali e siano effettuati nel rispetto di eventuali limiti previsti dalle normative di riferi-
mento o da disposizioni speciali; inoltre, il consenso non dev’essere richiesto neanche per la
comunicazione e diffusione dei dati, allorché tali operazioni siano espressamente previste da
una norma di legge o di regolamento ovvero, in via residuale, quando si rendano necessarie per
lo svolgimento delle funzioni istituzionali delle amministrazioni interessate. Resta fermo, in ogni
caso, l’obbligo d’informativa di cui all’art. 10 della legge n. 675/1996.
• Garante 13 marzo 1998, in Bollettino n. 4, pag. 62 (v. anche www.garanteprivacy.it: doc. n. 40557)

OPERAZIONI DI TRATTAMENTO DEI DATI > COMUNICAZIONE E DIFFUSIONE > 159


PROFILI GENERALI
In via generale, non sussiste incompatibilità di fondo fra la legge n. 675/1996 e le disposi-
zioni a tutela della trasparenza della pubblica amministrazione. A tale regola non si sottrae la
legge della regione Sicilia n. 15/1993 che, all’art. 1, comma 8, obbliga le amministrazioni regio-
nali e gli enti del settore pubblico regionale a comunicare alla Presidenza della Regione gli inca-
richi attribuiti ed i compensi corrisposti nell’anno precedente a ciascun componente pubblico o
privato di commissioni, comitati, consigli e collegi comunque denominati, trattandosi di una
forma di raccolta di dati che rientra fra le funzioni istituzionali di tale organo e che è validamente
disciplinata dalla citata legge regionale.
• Garante 30 marzo 1998, in Bollettino n. 4, pag. 68 (v. anche www.garanteprivacy.it: doc. n. 40565)

Il termine “diffusione”, dopo l’entrata in vigore della legge n. 675/1996, implica il riferi-
mento ad un numero indeterminato di persone, non la comunicazione a singoli soggetti.
• Garante 12 ottobre 1998, in Bollettino n. 6, pag. 110 (v. anche www.garanteprivacy.it: doc. n. 39680)

Ai sensi dell’art. 27, comma 3 della legge n. 675/1996, le università possono trasmettere
elenchi di studenti o di laureati a soggetti privati o ad enti pubblici economici in base alle nor-
mative generali o agli ordinamenti dei singoli atenei.
• Garante 1 febbraio 1999, in Bollettino n. 7, pag. 54 (v. anche www.garanteprivacy.it: doc. n. 30871)

A seguito dell’entrata in vigore del d.lg. n. 204/1988 (art. 6, comma 4), le università, con
autonome determinazioni, possono comunicare e diffondere dati relativi ad attività di studio e di
ricerca – con la sola esclusione dei dati sensibili o attinenti a provvedimenti giudiziari – a laureati
e dottori di ricerca per finalità di sostegno della ricerca e della collaborazione in campo scienti-
fico e tecnologico.
• Garante 1 febbraio 1999, in Bollettino n. 7, pag. 54 (v. anche www.garanteprivacy.it: doc. n. 30871)

La legge n. 390/1991 (recante norme sul diritto agli studi universitari) ed il connesso
d.P.C.M. 30 aprile 1997 (emanato ai sensi dell’art. 4 della legge n. 390/1991, recante norme
in materia di uniformità di trattamento sul diritto agli studi universitari), contenenti – tra l’al-
tro – disposizioni relative alla raccolta dei dati personali degli studenti ai fini della valuta-
zione della condizione economica del nucleo familiare d’appartenenza per la determinazione
della tassa d’iscrizione e dei contributi, costituiscono, ai sensi dell’art. 27 della legge
n. 675/1996, adeguata base normativa per procedere alla raccolta, alla comunicazione e alla
diffusione da parte delle università ad altre amministrazioni pubbliche dei dati afferenti agli
iscritti (in particolare con riferimento ai servizi ed agli interventi non destinati alla generalità
degli studenti), in quanto trattamenti riconducibili alle funzioni istituzionali delle ammini-
strazioni interessate.
• Garante 1 febbraio 1999, in Bollettino n. 7, pag. 54 (v. anche www.garanteprivacy.it: doc. n. 30871)

160 Massimario 1997/2001 • Soggetti pubblici


Ai sensi dell’art. 19 della legge n. 675/1996, l’acquisizione della conoscenza dei dati da
parte del responsabile e degli incaricati del trattamento, laddove ritualmente nominati dal tito-
lare, non costituisce “comunicazione” in senso tecnico.
• Garante 29 marzo 1999, in Bollettino n. 8, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 40161)

Alle richieste avanzate da pubbliche autorità per finalità istituzionali, ove non riconducibili
alle funzioni indicate nell’art. 4 della legge n. 675/1996, si applica la disciplina generale prevista
per i flussi informativi fra soggetti pubblici e privati (art. 27 e 20 della legge).
• Garante 6 ottobre 1999, in Bollettino n. 10, pag. 69 (v. anche www.garanteprivacy.it: doc. n. 41762)

Ai sensi dell’art. 27, comma 3, della legge n. 675/1996, i soggetti pubblici possono
comunicare dati personali a soggetti privati soltanto ove ciò sia previsto da norme di legge o
di regolamento. Il d.lg. n. 281/1999 che, nell’integrare il d.lg. n. 297/1994 (art. 330 bis), ha
disciplinato la divulgazione, da parte degli istituti scolastici di istruzione secondaria, dei dati
relativi agli studenti, può trovare applicazione anche in caso di richiesta, da parte di un
docente universitario, di elenchi di diplomati a scopo di ricerca, trattandosi di un’iniziativa
che, in quanto volta a favorire – anche con il contributo dell’indagine statistica – la formazione,
l’aggiornamento e la riqualificazione degli studenti e dei lavoratori, è riconducibile alle finalità
specificamente contemplate dall’art. 17 dello stesso decreto.
• Garante 1 febbraio 2000, in Bollettino n. 11/12, pag. 47 (v. anche www.garanteprivacy.it: doc. n. 42168)

In assenza di una formale designazione come incaricati del trattamento, i dipendenti delle
pubbliche amministrazioni che, per lo svolgimento dei propri compiti, vengono a conoscenza di
dati personali, devono essere considerati come soggetti terzi rispetto alle amministrazioni
stesse, con conseguenti rilevanti limiti per la comunicazione e l’utilizzazione dei dati e quindi per
la liceità del trattamento. Tale designazione è, infatti, indispensabile, in quanto permette di con-
siderare legittimo il flusso delle informazioni personali nell’ambito degli uffici e tra i dipendenti
dell’amministrazione titolare del trattamento (v. art. 19 della legge n. 675/1996).
• Garante 23 maggio 2000, in Bollettino n. 13, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40229)

In base alla legge n. 675/1996 (art. 27, comma 3) le amministrazioni pubbliche possono
divulgare i nominativi di contribuenti che hanno dichiarato redditi superiori ad una certa
soglia, trattandosi di informazioni la cui diffusione è prevista da una norma di legge (art. 69
del d.P.R. n. 600/1973). In base a tale normativa, i dati possono essere poi oggetto di ulteriore
circolazione a cura dei mezzi di informazione, senza che sia necessario acquisire il consenso
degli interessati (artt. 12 e 20 della legge n. 675/1996).
• Garante 13 ottobre 2000, in Bollettino n. 14/15, pag. 9 (v. anche www.garanteprivacy.it: doc. n. 41023)

OPERAZIONI DI TRATTAMENTO DEI DATI > COMUNICAZIONE E DIFFUSIONE > 161


PROFILI GENERALI
La richiesta del documento matricolare da parte dell’ufficio del Ministero della difesa
presso il quale l’interessato, ufficiale della Marina militare, presta servizio, nonché il successivo
invio di tale documento da parte della competente Direzione generale, non danno luogo ad una
operazione di comunicazione o di diffusione di dati, trattandosi invece di un’attività di utilizzo
interno all’amministrazione militare di dati che vengono trattati da parte di organi e uffici in rela-
zione alle proprie competenze e per lo svolgimento di funzioni istituzionali.
• Garante 6 febbraio 2001, in Bollettino n. 17, pag. 30 (v. anche www.garanteprivacy.it: doc. n. 40615)

Casi particolari

A.c.i.

La legge n. 675/1996 non ha introdotto il divieto per le amministrazioni e gli enti pubblici
di dare conoscibilità ai dati in loro possesso ma, all’art. 27, comma 3, stabilisce che questi sog-
getti possono diffondere i dati personali a privati o a enti pubblici economici quando ciò sia pre-
visto da norme di legge o di regolamento (nella specie, il Garante ha ritenuto che, in difetto di
un’apposita disposizione di rango primario o secondario, l’A.c.i. non possa procedere alla pub-
blicazione dell’elenco dei soggetti e dei centri autorizzati a svolgere l’attività di demolizione di
veicoli e di rimorchi).
• Garante 16 giugno 1999, in Bollettino n. 9, pag. 61 (v. anche www.garanteprivacy.it: doc. n. 30883)

Anagrafe delle prestazioni dei dipendenti pubblici

L’anagrafe delle prestazioni dei dipendenti pubblici deve essere considerato archivio dete-
nuto da soggetto pubblico. Ai dati personali in essa contenuti si applicano quindi le disposizioni
dell’art. 27 della legge n. 675/1996; essi possono essere pertanto oggetto sia di accesso ai docu-
menti amministrativi in base alla legge n. 241/1990, sia di comunicazione ad altre amministra-
zioni pubbliche per lo svolgimento di funzioni istituzionali, sia di comunicazione a soggetti pri-
vati, ove previsto da precise norme di legge o di regolamento. In difetto di specifiche disposizioni
che lo consentano (cfr. art. 24, comma 1 della legge n. 412/1991), deve invece essere esclusa la
possibilità di un accesso indiscriminato da parte di chiunque.
• Garante 23 ottobre 1997, in Bollettino n. 2, pag. 28 (v. anche www.garanteprivacy.it: doc. n. 40117)

Anagrafe e stato civile

La legge n. 675/1996 non ha modificato né la normativa concernente la tenuta dei registri


dello stato civile, né quella relativa alle anagrafi della popolazione, così come rispettivamente
delineate dal r.d. n. 1238/1939, dal codice civile, dalla legge n. 1228/1954, dal d.P.R. n. 223/1989

162 Massimario 1997/2001 • Soggetti pubblici


e dalla legge n. 127/1997. Pertanto, ai sensi dell’art. 27, commi 2 e 3 della legge n. 675/1996, è
lecito il rilascio a terzi, da parte del Comune, di certificazioni anagrafiche, purché risultino osser-
vati i limiti stabiliti in materia dagli artt. 33, 34 e 35 del d.P.R. n. 223/1989; al contrario, deve rite-
nersi illegittima la prassi di un Comune di fornire dati ed elenchi a terzi (nel caso di specie i nomi-
nativi dei nati e dei deceduti nel territorio comunale alle redazioni dei giornali locali) al di fuori
delle modalità previste dalla disciplina dei registri dello stato civile, degli atti anagrafici o di altra
normativa.
• Garante 22 luglio 1997, in Bollettino n. 1, pag. 43 (v. anche www.garanteprivacy.it: doc. n. 30927)

Ai sensi dell’art. 27, comma 3 della legge n. 675/1996, è illegittima la prassi degli uffici
comunali di fornire dati ed elenchi a terzi al di fuori delle modalità previste dalla disciplina dei
registri dello stato civile e degli atti anagrafici o da altra normativa.
• Garante 29 maggio 1998, in Bollettino n. 4, pag. 65 (v. anche www.garanteprivacy.it: doc. n. 41055)

Le pubblicazioni di matrimonio di cui agli artt. 93 e ss. del codice civile, consistendo uni-
camente in affissioni all’albo pretorio dei comuni di residenza dei nubendi, sono pubbliche e,
come tali, possono essere visionate da chiunque e riferite sugli organi di stampa, ma non pos-
sono essere comunicate o diffuse da parte dell’ufficiale di stato civile al di fuori dei modi espres-
samente previsti dalla normativa in materia. A fortiori, tale divieto di comunicazione e diffusione
vale per le richieste di pubblicazione che, non solo possono non sfociare nella pubblicazione
(art. 98 c.c.), ma sono annotate nell’apposito registro per il quale valgono, in via generale, le
norme stabilite dal codice civile e dal r.d. n. 1238/1939 per i registri di cittadinanza, di nascita,
di matrimonio e di morte, che non prevedono una loro libera consultabilità da parte dei privati.
È irrilevante, in ogni caso, qualsiasi consenso fornito dagli interessati alla diffusione di tali elen-
chi, vertendosi in tema di trattamento di dati operato da soggetti pubblici.
• Garante 29 maggio 1998, in Bollettino n. 4, pag. 65 (v. anche www.garanteprivacy.it: doc. n. 41055)

Mentre è possibile, ai sensi del d.P.R. n. 352/1992, la diffusione a terzi – che ne facciano
richiesta – di singole notizie relative a nascite, morti o matrimoni acquisite caso per caso dal-
l’ufficiale di stato civile, è contraria ai principi fissati dalla legge n. 675/1996 la prassi di richie-
dere al medesimo la redazione quotidiana di interi elenchi di nati, deceduti o nubendi da pub-
blicare con assiduità sugli organi di stampa.
• Garante 29 maggio 1998, in Bollettino n. 4, pag. 65 (v. anche www.garanteprivacy.it: doc. n. 41055)

Ai sensi del combinato disposto dell’art. 27 della legge n. 675/1996 e dell’art. 34 del
d.P.R. n. 223/1989, l’ufficiale dell’anagrafe può rilasciare – anche periodicamente – elenchi di
iscritti all’anagrafe della popolazione residente solo alle amministrazioni pubbliche, che ne
facciano motivata richiesta per esclusivo uso di pubblica utilità (art. 34, comma 1); al contra-

OPERAZIONI DI TRATTAMENTO DEI DATI > COMUNICAZIONE E DIFFUSIONE > 163


CASI PARTICOLARI > ANAGRAFE E STATO CIVILE
rio, tali elenchi non possono essere rilasciati in favore di privati, ai quali i dati anagrafici pos-
sono essere comunicati in forma anonima ed aggregata, qualora ne sia fatta richiesta per fini
statistici e di ricerca e il Comune disponga di idonee apparecchiature (art. 34, comma 2).
• Garante 10 giugno 1998, in Bollettino n. 4, pag. 72 (v. anche www.garanteprivacy.it: doc. n. 42200)

Secondo la normativa sugli atti anagrafici, l’ufficiale di anagrafe deve rilasciare, a chiun-
que ne faccia richiesta, fatte salve le limitazioni di legge, soltanto i “certificati concernenti la
residenza e lo stato di famiglia” degli iscritti (art. 33 del d.P.R. n. 223/1989), e può comunicare
i dati, in forma aggregata ed anonima, agli interessati che ne facciano richiesta per fini stati-
stici e di ricerca; può, infine, rilasciare elenchi degli iscritti alle amministrazioni pubbliche che
ne facciano motivata richiesta, per esclusivo uso di pubblica utilità (art. 34, commi 1 e 2 del
d.P.R. n. 223/1989). Considerato che, ai sensi dell’art. 27, comma 3 della legge n. 675/1996, i
soggetti pubblici possono comunicare dati personali a privati solo quando tale operazione è
prevista da puntuali norme di legge o di regolamento, risulta legittimo il diniego opposto da
un Comune alla richiesta di un partito politico di ottenere l’elenco dei “capi famiglia” residenti
nel territorio comunale, corredato dei relativi indirizzi.
• Garante 3 settembre 1998, in Bollettino n. 6, pag. 137 (v. anche www.garanteprivacy.it: doc. n. 41730)

La normativa sugli atti anagrafici prevede la possibilità per l’ufficiale di anagrafe di rila-
sciare, anche periodicamente, elenchi di iscritti nell’anagrafe della popolazione residente alle
amministrazioni pubbliche che ne facciano motivata richiesta, “per esclusivo uso di pubblica uti-
lità” (art. 34, comma 1 del d.P.R. n. 223/1989). Ne consegue che, in conformità con la speciale
disciplina prevista per i soggetti pubblici dall’art. 27, comma 2 della legge n. 675/1996, i comuni
possono comunicare alla A.S.L. tali elenchi al fine di effettuare uno screening dei tumori, prove-
nendo la richiesta da un soggetto pubblico per un fine di pubblica utilità.
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 78 (v. anche www.garanteprivacy.it: doc. n. 39268)

Con riferimento alla c.d. “anagrafe consolare”, la disciplina anagrafica di cui al d.P.R.
n. 223/1989 è applicabile – in quanto compatibile – soltanto in relazione ai dati relativi all’i-
scrizione nello schedario dei cittadini residenti nella circoscrizione consolare (dati anagrafici e
professionali) e non anche per altri dati ivi contenuti (atti o fatti relativi allo status di cittadino,
al godimento dei diritti civili e politici, ecc.) che, per espressa disposizione di legge, possono
essere utilizzati dall’ufficio consolare per “finalità di tutela degli interessi del connazionale”
(art. 67, u.c.). Pertanto, questi ultimi dati sono divulgabili a terzi nei limiti in cui ciò sia even-
tualmente previsto da specifiche disposizioni normative diverse da quelle relative al rilascio
degli atti anagrafici, ferma restando, in ogni caso, l’eventuale loro comunicabilità ove ricorrano
i presupposti di cui all’art. 27, commi 2 e 3 della legge n. 675/1996.
• Garante 18 maggio 1999, in Bollettino n. 8, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 39636)

164 Massimario 1997/2001 • Soggetti pubblici


La circostanza che l’iscrizione nell’elenco degli elettori dei Comites, di per sé soggetta
a pubblicità, venga effettuata d’ufficio sulla base degli schedari istituiti a norma dell’art. 67
del d.P.R. n. 200/1967 (c.d. anagrafe consolare), non consente un’estensione del medesimo
regime di conoscibilità in favore di detti schedari, ostandovi non solo il dettato normativo di
cui alla legge n. 205/1985, ma anche la disciplina fissata dall’art. 27, comma 3 della legge
n. 675/1996 che, in relazione al trattamento dei dati in ambito pubblico, consente la comuni-
cazione a terzi solo in presenza di una puntuale disposizione di legge o di regolamento.
• Garante 18 maggio 1999, in Bollettino n. 8, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 39636)

La legge n. 675/1996 non modifica espressamente la normativa relativa ai registri dello


stato civile e alla disciplina degli atti anagrafici, ne innova in materia di pubblicazioni di matri-
monio, stabilendo, però, all’art. 27, comma 3, che la comunicazione e la diffusione da parte di
soggetti pubblici a privati o a enti pubblici economici sono ammesse solo se previste da norme
di legge o di regolamento.
• Garante 17 febbraio 2000, in Bollettino n. 11/12, pag. 20 (v. anche www.garanteprivacy.it: doc. n. 38969)

La diffusione, da parte degli uffici comunali, dei dati mediante affissione all’albo pretorio
delle pubblicazioni matrimoniali è lecita anche dopo l’entrata in vigore della legge n. 675/1996,
in quanto l’art. 93 c.c., che fissa un obbligo in tal senso a carico dell’ufficiale di stato civile, rap-
presenta una delle disposizioni che, ai sensi dell’art. 27, comma 3 della legge, rende legittima la
pubblicazione diretta a rendere nota la volontà dei nubendi di contrarre matrimonio e a consen-
tire agli interessati di manifestare eventuali opposizioni. Dette pubblicazioni, comunque, visio-
nabili da chiunque e, eventualmente, anche riferibili da parte degli organi di stampa, non pos-
sono essere comunicate o diffuse da parte dell’ufficiale di stato civile al di fuori dei modi previ-
sti dalla normativa in materia.
• Garante 17 febbraio 2000, in Bollettino n. 11/12, pag. 20 (v. anche www.garanteprivacy.it: doc. n. 38969)

Fatta salva la particolare disciplina in materia di accesso ai documenti amministrativi posta


dalla legge n. 241/1990, la cui perdurante applicabilità non è pregiudicata dalle disposizioni con-
tenute nella legge n. 675/1996 e nel d.lg. n. 135/1999, non è possibile comunicare o diffondere
a privati i dati personali provenienti dagli archivi anagrafici al di fuori delle ipotesi specificamente
previste dalla normativa di settore (v. artt. 32 e 34, commi 1 e 2, del d.P.R. n. 223/1989).
• Garante 23 maggio 2000, in Bollettino n. 13, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40229)

La legge n. 675/1996, recante norme in materia di protezione dei dati personali, non ha
modificato direttamente la normativa relativa ai registri dello stato civile e alla disciplina degli
atti anagrafici, né ha introdotto ulteriori divieti di rendere conoscibili le informazioni in que-

OPERAZIONI DI TRATTAMENTO DEI DATI > COMUNICAZIONE E DIFFUSIONE > 165


CASI PARTICOLARI > ANAGRAFE E STATO CIVILE
stione, ma ha previsto che le amministrazioni e gli enti pubblici, in un quadro di maggiore tra-
sparenza, possono diffondere i dati personali da essi detenuti quando ciò sia previsto da norme
di legge o di regolamento rispettando, peraltro, il limite e le modalità previste dalla specifica
disciplina di settore (art. 27, comma 3).
• Garante 23 maggio 2000, in Bollettino n. 13, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40229)

Gli archivi anagrafici non permettono un prelevamento diretto dei dati, fuori dai casi
espressamente consentiti; inoltre, i dati anagrafici, a parte le certificazioni rilasciabili a chiunque
ne faccia richiesta, possono essere comunicati all’esterno solo a pubbliche amministrazioni e per
“esclusivo uso di pubblica utilità” (art. 34, comma 1, del d.P.R. n. 223/1989).
• Garante 20 giugno 2000, in Bollettino n. 13, pag. 11 (v. anche www.garanteprivacy.it: doc. n. 40441)

L’accesso, costante e indiscriminato, da parte dei privati a tutte le informazioni non sensi-
bili contenute nella banca dati anagrafica di un Comune è precluso in radice e non può essere
disposto dall’ente locale chiedendo il consenso degli interessati alla comunicazione dei propri
dati personali. Le disposizioni del regolamento anagrafico prevedono, infatti, la comunicazione
(e non la diffusione) dei dati anagrafici solo ad amministrazioni pubbliche, e non anche ai privati,
e per soli fini di pubblica utilità (art. 34 del d.P.R. n. 223/1989).
• Garante 5 dicembre 2000, in Bollettino n. 14/15, pag. 22 (v. anche www.garanteprivacy.it: doc. n. 40273)

Agenzie regionali per l’impiego

Le Agenzie regionali per l’impiego istituite dalla legge n. 56/1987, in quanto soggetti
pubblici, soggiacciono alla speciale disciplina prevista dagli artt. 27 e 22, comma 3 della legge
n. 675/1996, che consentono il trattamento dei dati solo se previsto da apposite previsioni di
legge. Ne consegue che va esclusa la possibilità di rendere pubbliche le liste di mobilità in
favore di aziende o associazioni di categoria che ne facciano richiesta, in quanto la normativa
di settore (artt. 6 e ss. della legge n. 223/1991; d.lg. n. 469/1997; decreto del Ministero del
lavoro dell’8 maggio 1998, pubblicato sulla G.U. del 6 giugno 1998) prevede un obbligo di con-
nessione e di scambio dei dati solo tra soggetti specificamente individuati (Ministero del
lavoro, regioni, enti locali, imprese di fornitura di lavoro temporaneo e soggetti autorizzati alla
mediazione tra domanda e offerta di lavoro).
• Garante 12 ottobre 1998, in Bollettino n. 6, pag. 55 (v. anche www.garanteprivacy.it: doc. n. 42272)

166 Massimario 1997/2001 • Soggetti pubblici


Appalti pubblici

Il d.lg. 24 luglio 1992, n. 358, recante il “Testo unico delle disposizioni in materia di
appalti pubblici di forniture”, prevede che le imprese partecipanti alle gare d’appalto possano
comprovare i propri requisiti tecnici anche attraverso la produzione di appositi documenti, tra
cui l’elenco attestante le principali forniture effettuate negli ultimi tre anni, corredato dall’in-
dicazione degli importi corrispondenti, della data e del destinatario della fornitura. Ne conse-
gue che, qualora dalla suddetta documentazione emergano informazioni afferenti a distinte
società con cui in precedenza l’attuale concorrente abbia instaurato rapporti negoziali, la con-
nessa comunicazione di dati non solo è conforme alle specifiche disposizioni del d.lg.
358/1992, ma è comunque rispettosa dei principi di cui alla legge n. 675/1996, trattandosi di
dati relativi allo svolgimento di attività economiche del titolare del trattamento che, ai sensi
dell’art. 20, comma 1, lett. e), non sono soggetti alla preventiva acquisizione del consenso del-
l’interessato.
• Garante 27 giugno 2001, in Bollettino n. 21, pag. 6 (v. anche www.garanteprivacy.it: doc. n. 40667)

Camere di commercio

Le richieste di accesso presentate alle Camere di commercio dalle parti interessate alle
procedure di gara per appalti d’opera o di fornitura (in specie, alle singole offerte) debbono
essere valutate con riferimento alla legge n. 241/1990 (che riconosce il diritto di accesso ai
documenti amministrativi a chi è titolare di un interesse personale e concreto in relazione alla
tutela di situazioni giuridicamente rilevanti) e alla specifica normativa vigente in materia di
appalti (d.lg. n. 358/1992 e d.lg. n. 157/1995), che contempera il principio di trasparenza del
procedimento con il principio di pertinenza e non eccedenza affermato dalla legge n. 675/1996
(art. 9).
• Garante 8 giugno 1998, in Bollettino n. 6, pag. 10 (v. anche www.garanteprivacy.it: doc. n. 40185)

Collocamento

Ai sensi dell’art. 27, comma 3 della legge n. 675/1996, gli uffici di collocamento, in
quanto soggetti pubblici, possono comunicare o diffondere dati a privati solo se ciò sia previ-
sto da una norma di legge o di regolamento. In tale ottica, il d.lg. n. 469/1997, istitutivo del
SIL - Sistema informativo lavoro, prevedendo un obbligo di connessione e di scambio di dati
relativi ai lavoratori tra Ministero del lavoro, regioni, enti locali e soggetti autorizzati alla
mediazione tra domanda ed offerta di lavoro, ha reso possibile l’accesso alle banche dati,
mediante convenzione, anche alle imprese di fornitura di lavoro temporaneo ed ai soggetti
autorizzati a detta mediazione (art. 11, commi 3, 4 e 5). Al contrario, allo stato attuale, nel-
l’ambito della disciplina sul collocamento al lavoro non sussistono ulteriori norme che per-

OPERAZIONI DI TRATTAMENTO DEI DATI > COMUNICAZIONE E DIFFUSIONE > 167


CASI PARTICOLARI > APPALTI PUBBLICI
mettano di comunicare o di mettere a disposizione le liste degli iscritti in favore di datori di
lavoro privati diversi da quelli autorizzati dal citato d.lg. n. 469/1997.
• Garante 17 febbraio 1999, in Bollettino n. 7, pag. 59 (v. anche www.garanteprivacy.it: doc. n. 40517)

Ferme restando le condivisibili finalità di interesse pubblico connesse al riordino e alla


semplificazione delle procedure di collocamento perseguite dalla disciplina del collocamento
ordinario adottato ai sensi dell’art. 20 della legge n. 59/1997, è necessario, per rispettare i diritti
fondamentali degli interessati previsti dalla legge n. 675/1996, che l’utilizzazione dei dati con-
tenuti nell’elenco anagrafico, nonché nella banca dati corrispondente alle schede professionali,
avvenga sulla base di un preciso quadro di riferimento, anche per ciò che riguarda l’attivazione
dei flussi di dati tra amministrazioni ed altri soggetti (es.: i centri per l’impiego e gli altri organi
individuati dalle regioni ai sensi dell’art. 4 del d.lg. n. 469/1997).
• Garante 30 novembre 1999, in Bollettino n. 10, pag. 27 (v. anche www.garanteprivacy.it: doc. n. 39640)

Comuni e province

Nell’ipotesi in cui un comune, ai fini dell’accertamento e della liquidazione dei tributi


locali, ritenga di instaurare un rapporto di consulenza con un consorzio privato in cui favore,
per il corretto espletamento dell’incarico, debbano essere posti a disposizione numerosi
archivi cartacei ed informatici detenuti dall’autorità comunale, detta relazione può essere util-
mente inquadrata come rapporto tra titolare e responsabile del trattamento; la designazione,
ai sensi dell’art. 8 della legge n. 675/1996, deve avvenire con atto scritto, nel rispetto dei
requisiti di esperienza, capacità ed affidabilità, e deve essere accompagnata da precise istru-
zioni da parte del titolare, finalizzate al miglior svolgimento dei compiti affidati al responsa-
bile, che, nell’esercizio di tali incombenze, è autorizzato ad accedere ai soli dati concreta-
mente pertinenti ed indispensabili. Ove detta nomina non venga effettuata, il consorzio viene
a porsi come autonomo “titolare” di trattamento, con conseguente applicazione della disci-
plina prevista dall’art. 27, comma 3 della legge n. 675/1996 in tema di comunicazione dei dati
da un soggetto pubblico ad un soggetto privato.
• Garante 29 maggio 1998, in Bollettino n. 4, pag. 64 (v. anche www.garanteprivacy.it: doc. n. 39176)

Ai sensi dell’art. 27, comma 2 della legge n. 675/1996, il centro sociale, quale struttura
facente capo direttamente all’amministrazione comunale, è legittimato ad acquisire informazioni
presso gli uffici finanziari, gli enti previdenziali ed i singoli comuni di provenienza per verificare
la posizione reddituale e patrimoniale degli ospiti.
• Garante 29 maggio 1998, in Bollettino n. 4, pag. 69 (v. anche www.garanteprivacy.it: doc. n. 40799)

168 Massimario 1997/2001 • Soggetti pubblici


La legge n. 675/1996 non ha abrogato il regime di pubblicità delle deliberazioni comunali e
provinciali contenuto nella legge n. 142/1990 e, per quanto concerne la Regione Trentino Alto-
Adige, nella legge regionale n. 1/1993: tali normative permettono la conoscibilità pressocché indif-
ferenziata di tali delibere attraverso la loro pubblicazione nei rispettivi albi pretori. In ogni caso,
rimangono fermi il divieto di diffusione dei dati idonei a rivelare lo stato di salute (art. 23, comma 4
della legge n. 675/1996), nonché i requisiti di pertinenza e non eccedenza dei dati (art. 9), che obbli-
gano le amministrazioni ad operare una selezione delle informazioni – specie sensibili – il cui inse-
rimento sia necessario per la realizzazione delle finalità cui le singole delibere sono preordinate.
• Garante 26 ottobre 1998, in Bollettino n. 6, pag. 133 (v. anche www.garanteprivacy.it: doc. n. 30951)

La legge n. 675/1996 consente la comunicazione e la diffusione di dati personali da parte di


soggetti pubblici a privati solo se previste da norme di legge o di regolamento (art. 27, comma 3).
Conseguentemente, non può trovare accoglimento la richiesta avanzata da un’impresa ad un
Comune di predisporre elenchi nominativi dei soggetti che, in un certo periodo, hanno proposto
istanza per il rilascio di concessione edilizia o che hanno presentato la dichiarazione di inizio e fine
lavori, in quanto la normativa urbanistica non prevede una tale modalità di comunicazione, che
comporterebbe da parte dell’amministrazione un facere non previsto dall’ordinamento. Peraltro,
poiché l’art. 7 della legge n. 142/1990 sull’ordinamento delle autonomie locali stabilisce che – salve
le eccezioni ivi espressamente previste – tutti gli atti delle amministrazioni comunali e provinciali
sono pubblici, resta salva la possibilità per chiunque di ottenere la visione o il rilascio di copia dei
documenti delle medesime amministrazioni.
• Garante 26 ottobre 1998, in Bollettino n. 6, pag. 9 (v. anche www.garanteprivacy.it: doc. n. 30867)

Considerato che la legge n. 675/1996 autorizza la comunicazione di dati personali fra sog-
getti pubblici, fra l’altro, quando ciò sia necessario per lo svolgimento delle relative funzioni isti-
tuzionali (art. 27, comma 2), deve ritenersi legittima, perché rispondente alle funzioni istituzio-
nali sia del Comune, sia del soggetto pubblico destinatario, la comunicazione dei dati personali
contenuti nell’archivio I.C.I. di un comune al Comando della locale Guardia di finanza, che ne
abbia fatto richiesta per lo svolgimento delle indagini di polizia tributaria relative alle dichiara-
zioni presentate ai fini dell’imposta comunale sugli immobili.
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 138 (v. anche www.garanteprivacy.it: doc. n. 39372)

Allorché l’attività di controllo sulla manutenzione e l’esercizio degli impianti termici, ai


sensi dell’art. 19 del d.P.R. n. 412/1993, venga espletata dalla provincia, sulla base della pre-
ventiva stipula di una convenzione, mediante la preposizione di soggetti terzi, si rende neces-
saria una formale designazione del responsabile e degli incaricati del trattamento (artt. 8 e 19
della legge n. 675/1996); in tal caso, relativamente al rapporto provincia – soggetto preposto al
controllo, la comunicazione al Garante di cui all’art. 27, comma 2 della L. 675/1996 diviene
superflua. Al contrario, detta comunicazione, del tutto distinta dalla notificazione ex art. 7 della

OPERAZIONI DI TRATTAMENTO DEI DATI > COMUNICAZIONE E DIFFUSIONE > 169


CASI PARTICOLARI > COMUNI E PROVINCE
legge, dev’essere effettuata nel caso in cui non sussista alcuna norma di legge o di regolamento
che preveda l’acquisizione, da parte della Provincia, dei dati detenuti da altra amministrazione
pubblica.
• Garante 14 gennaio 1999, in Bollettino n. 7, pag. 53 (v. anche www.garanteprivacy.it: doc. n. 42118)

La legge n. 675/1996 non ha modificato la disciplina legislativa relativa al regime di pub-


blicità degli albi e alla conoscibilità degli atti ad essi connessi (cfr. artt. 12, comma 1, lett .c), 20,
comma 1, lett. b), 28, comma 4, lett. f ) e 43, comma 2); in particolare, il r.d. n. 274/1929, recante
il “regolamento per la professione di geometra”, all’art. 8 individua i soggetti cui i Collegi dei
geometri devono comunicare l’albo e i provvedimenti di sospensione dall’esercizio della profes-
sione. Tali dati possono, peraltro, essere comunicati anche ad altri soggetti pubblici, sempre che
ciò risulti necessario per lo svolgimento di precise funzioni istituzionali di almeno una delle
amministrazioni interessate – collegio o ente ricevente – (v. art. 27, comma 2 della legge
n. 675/1996). Ai sensi della legge n. 675/1996 (art. 27, comma 3), non è, invece, possibile dif-
fondere i medesimi dati a soggetti privati, se non in presenza di una precisa previsione norma-
tiva (quale quella contenuta nell’art. 22 della legge n.. 241/1990).
• Garante 16 giugno 1999, in Bollettino n. 9, pag. 72 (v. anche www.garanteprivacy.it: doc. n. 38981)

Ai sensi dell’art. 27, comma 1 della legge n. 675/96, la provincia può acquisire dai comuni
e da altre amministrazioni pubbliche (es.: il Corpo dei Vigili del fuoco e l’I.s.p.e.s.l.) le informa-
zioni necessarie per espletare l’attività di controllo sulla manutenzione e l’esercizio degli
impianti termici, purché ciò avvenga nel rispetto della specifica disciplina applicabile alle singole
amministrazioni (es.: per gli atti anagrafici, l’art. 34 del regolamento anagrafico della popola-
zione residente, approvato con d.P.R. n. 223/1989).
• Garante 14 gennaio 1999, in Bollettino n. 7, pag. 53 (v. anche www.garanteprivacy.it: doc. n. 42118)

Nel disciplinare per regolamento la conoscibilità delle informazioni in suo possesso, l’ente
locale (nella specie il comune) può contemplarne la diretta divulgabilità tramite riviste e noti-
ziari, anche telematici, curati dall’ente stesso. Poiché la loro pubblicazione ricade nell’ampia
nozione di trattamento finalizzato “esclusivamente alla pubblicazione occasionale di articoli,
saggi o altre manifestazioni del pensiero”, l’ente locale deve tenere conto della disciplina del
trattamento dei dati a fini giornalistici e di divulgazione anche temporanea delle manifestazioni
del pensiero prevista dall’art. 25 della legge n. 675/1996.
• Garante 23 maggio 2000, in Bollettino n. 13, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40229)

Consigli dell’Ordine e provvedimenti disciplinari

La legge n. 675/1996 non ha modificato la disciplina legislativa sulla pubblicità degli albi

170 Massimario 1997/2001 • Soggetti pubblici


professionali, i quali, anche in ragione della tutela dei diritti di coloro che, a vario titolo, intrat-
tengono rapporti con gli iscritti, sono funzionalmente soggetti ad un regime di piena pubbli-
cità, che si estende anche ai provvedimenti di carattere disciplinare. Detto regime di conosci-
bilità dei provvedimenti disciplinari, che si fonda su rilevanti motivi di interesse pubblico, deve
ritenersi prevalente rispetto all’interesse alla riservatezza del singolo professionista destina-
tario della sanzione disciplinare, purché la menzione del relativo provvedimento applicativo
avvenga in modo corretto e in termini esatti e completi. Ne consegue la liceità della divulga-
zione di detti provvedimenti tramite riviste o notiziari curati dai Consigli dell’Ordine, la cui pub-
blicazione è riconducibile all’ampia nozione di trattamento di dati personali finalizzato alla
pubblicazione o diffusione occasionale di articoli, saggi o altre manifestazioni del pensiero, cui
è applicabile la disciplina prevista dall’art. 25 delle legge n. 675/1996 in tema di attività gior-
nalistica e di informazione.
• Garante 29 marzo 2001, in Bollettino n. 18, pag. 20 (v. anche www.garanteprivacy.it: doc. n. 39536)

Dati reddituali dei contribuenti

V.: PRIVATI ED ENTI PUBBLICI ECONOMICI > SETTORI DI ATTIVITÀ > ATTIVITÀ GIORNALISTICA > CASI
PARTICOLARI > DATI REDDITUALI DEI CONTRIBUENTI (P. 86)

Dipartimento di pubblica sicurezza e provvedimenti disciplinari

Il trattamento effettuato dagli organi interni di un Dipartimento di pubblica sicurezza al fine


di verificare, nell’ambito di un procedimento disciplinare, l’osservanza dei doveri inerenti alla
funzione di pertinenza dei dipendenti (art. 68 della legge n. 121/1981), non solo non integra una
ipotesi di “comunicazione” o di “diffusione” dei dati personali (nel caso di specie anche sensi-
bili), ma è una operazione conforme alla disciplina dettata dalla legge n. 675/1996 (art. 27
comma 1 e 22 commi 3 e 3 bis) e dal d.lg. 135/1999 (art. 9 ,comma 1, lett. g ).
• Garante 3 ottobre 2001, in Bollettino n. 23, pag. 38 (v. anche www.garanteprivacy.it: doc. n. 41966)

Enti locali siciliani e commissione antimafia regionale

La legge n. 675/1996 non ostacola la comunicazione alla commissione parlamentare d’in-


chiesta e vigilanza sul fenomeno della mafia in Sicilia dei dati riguardanti i procedimenti giudi-
ziari a carico di dirigenti regionali – ed equiparati – per i reati contro l’amministrazione o che
comportano pene accessorie, quale l’interdizione dai pubblici uffici. Infatti, l’art. 6 della legge
regionale n. 4/1991 demanda precisi compiti a detta commissione e determina nei confronti degli
organi dell’amministrazione regionale e degli enti locali siciliani – o sottoposti alla vigilanza

OPERAZIONI DI TRATTAMENTO DEI DATI > COMUNICAZIONE E DIFFUSIONE > 171


CASI PARTICOLARI > DATI REDDITUALI DEI CONTRIBUENTI
della regione – il dovere di collaborare con la commissione e di ottemperare alle sue richieste,
ponendo altresì a carico degli amministratori pubblici e dei suddetti enti il dovere di “ottempe-
rare alle richieste della commissione e di fornire alla stessa ogni necessaria collaborazione ai fini
dell’espletamento dei compiti a questa attribuiti”. Pertanto, dettando la legge regionale una
specifica disciplina in materia, ai sensi dell’art. 27, comma 2 della legge n. 675/1996 risulta
lecito lo scambio dei dati tra i soggetti pubblici in questione.
• Garante 18 marzo 1999, in Bollettino n. 8, pag. 52 (v. anche www.garanteprivacy.it: doc. n. 39360)

Forze di polizia

La raccolta delle foto segnaletiche da parte degli organi di polizia è finalizzata esclusiva-
mente ad esigenze di sicurezza pubblica e di giustizia; ne consegue che, ove la comunicazione
di dette foto ai mezzi d’informazione avvenga al di fuori di tali finalità, deve ritenersi violata la
legge n. 675/1996 che, all’art. 1, qualifica esplicitamente come “dato personale” qualsiasi infor-
mazione idonea a consentire l’identificazione di un soggetto.
• Garante 2 luglio 1997, in Bollettino n. 1, pag. 62 (v. anche www.garanteprivacy.it: doc. n. 38985)

Ordini professionali e conoscibilità dei dati contenuti negli albi

La legge n. 675/1996 non ha modificato la disciplina legislativa relativa al regime di pubbli-


cità degli albi professionali, ma ha soltanto ribadito l’obbligo del rispetto delle norme (di legge o di
regolamento) che disciplinano la conoscibilità e la pubblicità di detti atti (artt. 12, comma 1, lett. c);
20, comma 1, lett. b); 28, comma 4, lett. f ); 43, comma 2).
• Garante 30 giugno 1997, in Bollettino n. 1, pag. 33 (v. anche www.garanteprivacy.it: doc. n. 39320)
• Garante 22 luglio 1997, in Bollettino n. 1, pag. 40 (v. anche www.garanteprivacy.it: doc. n. 39456)
• Garante 4 agosto 1997, in Bollettino n. 1, pag. 46 (v. anche www.garanteprivacy.it: doc. n. 30843)
• Garante 23 giugno 1998, in Bollettino n. 5, pag. 12 (v. anche www.garanteprivacy.it: doc. n. 39901)
• Garante 26 ottobre 1998, in Bollettino n. 6, pag. 12 (v. anche www.garanteprivacy.it: doc. n. 41075)

Alla luce delle disposizioni del d.P.R. n. 1068/1953 sull’ordinamento della professione di
ragioniere e perito commerciale (in specie l’art. 29), e tenuto conto che gli albi dei liberi profes-
sionisti sono ispirati per loro stessa natura e funzione ad un regime di piena pubblicità, anche in
funzione della tutela dei diritti di coloro che a vario titolo hanno rapporti con gli iscritti, deve rite-
nersi consentito al Consiglio dell’Ordine di comunicare e di diffondere a privati i dati personali
contenuti nell’albo (art. 29 del d.P.R. cit.; art. 27, comma 3 della legge n. 675/1996).
• Garante 23 giugno 1998, in Bollettino n. 5, pag. 12 (v. anche www.garanteprivacy.it: doc. n. 39901)

172 Massimario 1997/2001 • Soggetti pubblici


Ai sensi della legge n. 675/1996, i Consigli dell’Ordine possono raccogliere e fornire a
terzi elenchi di liberi professionisti e di altri operatori del settore di riferimento qualora i dati
oggetto di trattamento provengano da pubblici registri, elenchi, atti o documenti conoscibili
da chiunque, oppure riguardino lo svolgimento di attività economiche da parte degli interes-
sati (art. 12, comma 1, lett. c) ed f ); art. 20, comma 1, lett. b) ed e)). In caso contrario, il trat-
tamento dei dati non può prescindere dal preventivo consenso degli interessati (es.: soggetti
che, pur non essendo liberi professionisti, siano comunque inseriti in detti elenchi).
• Garante 14 gennaio 1999, in Bollettino n. 7, pag. 9 (v. anche www.garanteprivacy.it: doc. n. 39244)

La legge n. 675/1996 non ha modificato la disciplina relativa alla tenuta ed alla conoscibi-
lità degli albi professionali, i quali sono ispirati per loro stessa natura e funzione ad un regime di
pubblicità, anche in ragione della tutela dei diritti di coloro che, a vario titolo, hanno rapporti con
gli iscritti all’albo.
• Garante 29 marzo 1999, in Bollettino n. 8, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 40161)

La legge n. 675/1996 non ha modificato la disciplina legislativa relativa al regime di pub-


blicità degli albi e alla conoscibilità degli atti ad essi connessi (cfr. artt. 12, comma 1, lett .c),
20, comma 1, lett. b), 28, comma 4, lett. f ) e 43, comma 2); in particolare, il r.d. n. 274/1929,
recante il “regolamento per la professione di geometra”, all’art. 8 individua i soggetti cui i
Collegi dei geometri devono comunicare l’albo e i provvedimenti di sospensione dall’esercizio
della professione. Tali dati possono, peraltro, essere comunicati anche ad altri soggetti pub-
blici, sempre che ciò risulti necessario per lo svolgimento di precise funzioni istituzionali di
almeno una delle amministrazioni interessate – Collegio o ente ricevente – (v. art. 27, comma
2 della legge n. 675/1996). Ai sensi della legge n. 675/1996 (art. 27, comma 3), non è, invece,
possibile diffondere i medesimi dati a soggetti privati, se non in presenza di una precisa pre-
visione normativa (quale quella contenuta nell’art. 22 della legge n. 241/1990).
• Garante 16 giugno 1999, in Bollettino n. 9, pag. 72 (v. anche www.garanteprivacy.it: doc. n. 38981)

Questionari R.a.i.

Con riferimento alle comunicazioni inviate dalla R.a.i., ai fini del pagamento del canone,
alle persone che non risultano presenti negli elenchi degli abbonati al servizio radiotelevisivo, la
società, al fine della scrupolosa protezione del diritto alla riservatezza dei destinatari, deve adot-
tare misure idonee ad evitare l’inutile divulgazione di dati personali compiuta attraverso la resti-
tuzione del questionario, contenente anche dati di terzi (familiari o conviventi già abbonati), in
una cartolina leggibile da chiunque, anziché in una busta chiusa o con modalità che, comunque,
non ne rendano possibile una facile ed immediata consultazione da parte di estranei.
• Garante 12 luglio 2000, in Bollettino n. 13, pag. 38 (v. anche www.garanteprivacy.it: doc. n. 30923)

OPERAZIONI DI TRATTAMENTO DEI DATI > COMUNICAZIONE E DIFFUSIONE > 173


CASI PARTICOLARI > QUESTIONARI R.A.I.
Regioni e federazioni sportive

Ai fini dell’istruttoria delle istanze dirette ad ottenere il riconoscimento del titolo di mae-
stro di sci in Italia da parte di coloro che lo abbiano conseguito all’estero, i dati personali dei
richiedenti possono essere comunicati alla Federazione Italiana Sport Invernali ed al Collegio
nazionale maestri di sci; infatti, la legge n. 81/1991, dispone che le regioni disciplinano l’eserci-
zio non saltuario, nel proprio territorio, dell’attività dei maestri di sci stranieri non iscritti in albi
regionali italiani, mentre l’autorizzazione all’esercizio della professione è subordinata al ricono-
scimento, demandato alla Federazione Italiana Sport Invernali, d’intesa con il Collegio nazionale
dei maestri di sci, dell’equivalenza dei titoli e della reciprocità. Pertanto, stante la natura preva-
lente di soggetti privati delle federazioni sportive, e costituendo la legge n. 81/1991 una ade-
guata base normativa in materia, la comunicazione dei dati in questione risulta lecita ai sensi
dell’art. 27, comma 3, della legge n. 675/1996.
• Garante 4 marzo 1999, in Bollettino n. 8, pag. 56 (v. anche www.garanteprivacy.it: doc. n. 41095)

Sistema statistico nazionale

Tenuto conto che la legge n. 675/1996, all’art. 43, comma 2, ha fatto salve, in quanto com-
patibili, le disposizioni del d.lg. n. 322/1989 (recante norme sul Sistema statistico nazionale),
che fa obbligo alle pubbliche amministrazioni di fornire all’Istat ogni informazione che venga
richiesta, devono ritenersi assolte le condizioni poste dall’art. 27, comma 2 della stessa legge
n. 675/1996 – che autorizza la comunicazione di dati fra soggetti pubblici quando, fra l’altro, ciò
sia previsto da una norma di legge o di regolamento – in caso di trasmissione all’Istat, da parte
di una università statale, degli elenchi dei laureati, finalizzata al compimento di una indagine sta-
tistica sul loro inserimento professionale.
• Garante 26 ottobre 1998, in Bollettino n. 6, pag. 135 (v. anche www.garanteprivacy.it: doc. n. 42292)

Sistemi di interconnessione telematica tra banche dati

La disciplina delle modalità di utilizzo delle banche dati pubbliche da parte delle varie
amministrazioni deve essere contenuta in norme di legge o di regolamento, in conformità alle
condizioni previste dall’art. 27 della legge n. 675/1996, al fine di realizzare un trasparente flusso
di dati ispirato ad omogenei criteri che garantiscano la protezione dei dati medesimi nel rispetto
dei principi di pertinenza, completezza e non eccedenza sanciti dall’art. 9, lett. d) della legge.
• Garante 4 marzo 1999, in Bollettino n. 8, pag. 16 (v. anche www.garanteprivacy.it: doc. n. 41187)

174 Massimario 1997/2001 • Soggetti pubblici


Titolari di cariche elettive e di incarichi dirigenziali

Il regime di pubblicità delle dichiarazioni dei redditi presentate dai componenti del
Consiglio e della Giunta comunale, ove previsto da norme statutarie, è conforme ai principi sta-
biliti dall’art. 27, comma 3 della legge n. 675/1996.
• Garante 8 gennaio 1998, in Bollettino n. 3, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 30863)

La legge n. 675/1996 non ha modificato le disposizioni della legge n. 441/1982 sulla pub-
blicità della situazione patrimoniale dei titolari di alcune cariche elettive o direttive che, per
effetto della legge n. 127/1997, trovano applicazione anche nei confronti del personale dirigen-
ziale – o equiparato – delle amministrazioni pubbliche.
• Garante 14 gennaio 1999, in Bollettino n. 7, pag. 15 (v. anche www.garanteprivacy.it: doc. n. 42228)

Uffici giudiziari
• V.: SOGGETTI PUBBLICI > TRATTAMENTI PARTICOLARI > TRATTAMENTI PER RAGIONI DI GIUSTIZIA >
UFFICI GIUDIZIARI (P. 173)

Trattamenti particolari

Centro elaborazione dati del Dipartimento di pubblica


sicurezza
L’art. 10 della legge n. 121/1981, così come sostituito dall’art. 42 della legge n. 675/1996,
consente all’interessato di accedere direttamente ai dati che lo riguardano contenuti nel Centro
elaborazione dati del Dipartimento di pubblica sicurezza, a prescindere dalla conoscenza che
egli abbia avuto nel corso di un procedimento amministrativo o giurisdizionale circa l’erroneità,
l’incompletezza o l’illecito trattamento dei dati stessi, come invece richiesto dalla norma nella
sua precedente formulazione.
• Garante 17 dicembre 1997, in Bollettino n. 2, pag. 54 (v. anche www.garanteprivacy.it: doc. n. 39192)

Ai sensi dell’art. 10 della legge n. 121/1981, come riformulato dall’art. 42 della legge
n. 675/1996, gli interessati possono esercitare direttamente il diritto di accesso ai dati che li
riguardano detenuti dal Centro elaborazione dati del Dipartimento di pubblica sicurezza, anche

TRATTAMENTI PARTICOLARI > CENTRO ELABORAZIONE DATI DEL DIPARTIMENTO DI PUBBLICA SICUREZZA 175
al fine di chiedere la correzione o la cancellazione dei dati che risultassero inesatti o incompleti,
oppure trattati in violazione di legge o di regolamento.
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 41 (v. anche www.garanteprivacy.it: doc. n. 41990)

Allo stato della normativa, ai sensi dell’art. 4, comma 1, lett. a), della legge n. 675/1996, ai
trattamenti di dati effettuati dal Centro elaborazione dati del Dipartimento di pubblica sicurezza
si applicano soltanto alcune disposizioni della legge sulla privacy, fra le quali non sono ricom-
presi l’art. 13 e l’art. 29; ne consegue che l’interessato, con riferimento a detti trattamenti, ha
soltanto la facoltà alternativa di sollecitare – a mezzo di segnalazione o reclamo – una verifica
del Garante sulla rispondenza degli stessi ai requisiti stabiliti dalla legge o dai regolamenti,
ovvero di rivolgersi al Tribunale ai sensi dell’art. 10, comma 5, della legge n. 121/1981 per otte-
nere l’eventuale rettifica, integrazione e cancellazione dei dati o la loro trasformazione in forma
anonima. Pertanto, l’eventuale ricorso proposto ai sensi dell’art. 29 della legge n. 675/1996 è
inammissibile.
• Garante 14 marzo 2001, in Bollettino n. 18, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 30955)

È inammissibile il ricorso diretto ad ottenere l’accesso a dati personali trattati dalla


Questura, qualora il tenore della precedente istanza di cui all’art. 13 della legge n. 675/1996,
per l’ampiezza della sua formulazione, sia tale da riguardare anche dati destinati a confluire
nel Centro elaborazione dati del Dipartimento di pubblica sicurezza (per i quali il diritto di
accesso è specificamente disciplinato dall’art. 10 della legge n. 121/1981), ovvero dati trattati
per finalità di prevenzione, accertamento e repressione di reati; questi ultimi, in particolare, ai
sensi dell’art. 4, comma 1, lett. e) della legge n. 675/1996, non possono formare oggetto del-
l’istanza di cui all’art. 13 della legge e del successivo ricorso di cui all’art. 29, bensì di sem-
plice segnalazione o reclamo ai fini dell’esercizio, da parte del Garante, dei poteri previsti
dagli artt. 31, comma 1, lett. d) e 32 della legge.
• Garante 3 ottobre 2001, in Bollettino n. 23, pag. 82 (v. anche www.garanteprivacy.it: doc. n. 39444)

Organismi di sicurezza
La legge n. 675/1996 ha demandato al Garante il compito di verificare la conformità dei
trattamenti dei dati svolti dagli organismi di sicurezza di cui alla legge n. 801/1977 alle dispo-
sizioni di legge e di regolamento (art. 31, comma 1, lett. p) e 32, commi 6 e 7, in relazione
all’art. 4, comma 1, lett. b)).
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 79 (v. anche www.garanteprivacy.it: doc. n. 42030)

176 Massimario 1997/2001 • Soggetti pubblici


Casellario giudiziario e carichi pendenti
L’ordinanza del Giudice istruttore diretta all’acquisizione del certificato penale e dei cari-
chi pendenti di una delle parti, in quanto volta ad acquisire elementi di giudizio rispetto ad una
controversia in essere, rientra tra i trattamenti svolti “per ragioni di giustizia nell’ambito di
uffici giudiziari”, i quali, stante il disposto dell’art. 4, comma 1, della legge n. 675/1996, non
sono soggetti alle disposizioni di cui agli artt. 13 e 29 della medesima legge; analogamente,
non soggiace a tali disposizioni il connesso trattamento effettuato dal casellario giudiziale
che, oltre a costituire adempimento dell’ordinanza del giudice, è soggetto alla speciale disci-
plina prevista dall’art. 4, comma 1, lett. c) della legge.
• Garante 28 settembre 2001, inedito (v. anche www.garanteprivacy.it: doc. n. 39089)

Trattamenti per ragioni di giustizia


Uffici giudiziari

La legislazione sulla protezione dei dati personali non ha innovato la disciplina sulla
conoscibilità degli esiti dei procedimenti, sul calendario dei processi e sulla pubblicità delle
udienze, trattandosi di materia specificamente regolata dalle norme processuali preesistenti.
• Garante 6 aprile 1998, in Bollettino n. 4, pag. 84 (v. anche www.garanteprivacy.it: doc. n. 39380)

La legge n. 675/1996 non disciplina direttamente la formazione e la comunicazione degli


atti del processo civile che, allo stato, ai sensi dell’art. 4 della legge, restano sottoposti alla
speciale disciplina del codice di procedura civile, che consente, alla persona che riceve l’atto,
di verificarne la conformità all’originale su cui l’ufficiale giudiziario annota l’eventuale notifi-
cazione. Poiché la notificazione, in determinati casi espressamente indicati dal codice di pro-
cedura civile, può essere effettuata anche a persona estranea alla cura degli interessi del
destinatario, cui spetta comunque la facoltà di verificare la conformità dell’atto all’originale,
sorge l’esigenza di tutelare adeguatamente la riservatezza della persona cui si riferisce l’atto
notificato, sicché si suggerisce, in occasione di una auspicabile modifica della normativa, l’op-
portunità di prevedere, per l’espletamento dell’incombenza, l’impiego di una busta o di un
plico chiuso in tutti i casi in cui la notifica non sia effettuata nelle mani del destinatario o,
eventualmente, di una persona da lui indicata (es. un collaboratore di uno studio professio-
nale).
• Garante 10 giugno 1998, in Bollettino n. 5, pag. 14 (v. anche www.garanteprivacy.it: doc. n. 41926)

TRATTAMENTI PARTICOLARI > CASELLARIO GIUDIZIARIO E CARICHI PENDENTI 177


Il rilascio di copie di atti giudiziari ai sensi dell’art. 116 del codice di procedura penale,
come pure delle corrispondenti norme del codice di procedura civile, integra certamente un’at-
tività “per ragioni di giustizia” che è soggetta alle sole disposizioni della legge n. 675/1996
indicate nel comma 2 dell’art. 4.
• Garante 23 giugno 1998, in Bollettino n. 5, pag. 15 (v. anche www.garanteprivacy.it: doc. n. 30891)

Tra i trattamenti di dati personali effettuati dagli uffici giudiziari si possono distinguere
quelli per scopi “amministrativi” e quelli svolti, ai sensi dell’art 4, comma 1, lett. d) della legge
n. 675/1996, “per ragioni di giustizia”. Ai primi si applica compiutamente la disciplina prevista
dalla legge n. 675/1996 per i trattamenti effettuati dai soggetti pubblici; i secondi, invece,
sono assoggettati alle sole norme richiamate al comma 2 dell’art. 4 della legge. Anche i trat-
tamenti attinenti all’attività amministrativa concernente il personale di magistratura (consi-
stenti, ad esempio, nella raccolta e nella conservazione dei dati contenuti nei fascicoli perso-
nali dei magistrati) vanno quindi considerati, alla stregua di quelli che riguardano ogni altro
dipendente pubblico, soggetti alla normale disciplina della legge n. 675/1996.
• Garante 23 giugno 1998, in Bollettino n. 5, pag. 15 (v. anche www.garanteprivacy.it: doc. n. 30891)

Nei confronti dei trattamenti dei dati effettuati per “ragioni di giustizia” nell’ambito
degli uffici giudiziari trovano applicazione solamente le disposizioni enumerate nel comma 2
dell’art. 4 della legge n. 675/1996, fra le quali non figurano l’art. 13 e l’art. 29 della legge
stessa; pertanto, il ricorso eventualmente proposto ai sensi dell’art. 29 è inammissibile (fat-
tispecie relativa al trattamento dei dati effettuato da parte dell’autorità giudiziaria inquirente
in sede di indagini preliminari).
• Garante 18 novembre 1998, in Bollettino n. 6, pag. 94 (v. anche www.garanteprivacy.it: doc. n. 41203)

Le perizie svolte dai consulenti tecnici nominati dall’autorità giudiziaria rientrano fra i trat-
tamenti di dati personali effettuati nell’ambito di uffici giudiziari “per ragioni di giustizia” che, ai
sensi dell’art. 4 della legge n. 675/1996, sono sottratti all’applicazione delle disposizioni che
l’art. 22 della legge detta in tema di trattamento di dati sensibili; per l’effettuazione di tali trat-
tamenti non occorre quindi acquisire previamente il consenso dell’interessato.
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 125 (v. anche www.garanteprivacy.it: doc. n. 39608)

Le richieste di dati personali per esigenze di polizia giudiziaria sono riconducibili ai trat-
tamenti disciplinati dall’art. 4 della legge n. 675/1996 (“Particolari trattamenti in ambito pub-
blico”), sia quando sono formulate nell’ambito di attività delegate dall’autorità giudiziaria
(art. 4, comma 1, lett. d)), sia quando derivano da un’attività investigativa o d’indagine di ini-
ziativa degli organi di polizia (art. 4, comma 1, lett. e) e artt. 347 e ss. c.p.p.); ad esse, pertanto,
deve darsi corso in base alle relative norme del codice di procedura penale.
• Garante 6 ottobre 1999, in Bollettino n. 10, pag. 69 (v. anche www.garanteprivacy.it: doc. n. 41762)

178 Massimario 1997/2001 • Soggetti pubblici


Il rilascio di copie di atti o la consultazione dei registri relativi ai procedimenti giudiziari
rientrano fra le attività svolte dagli uffici giudiziari “per ragioni di giustizia”, che sono soggette
solo ad alcune disposizioni della legge n. 675/1996 (art. 4, comma 1, lett. d) e comma 2). Agli
uffici giudiziari, nella comunicazione di dati personali ad altri soggetti pubblici, non si applicano,
quindi, le particolari cautele previste dal comma 2 dell’art. 27 della legge, ferma restando l’ap-
plicabilità, anche ai trattamenti svolti da questi uffici, del principio di pertinenza dei dati previ-
sto dall’art. 9, lett. b) e d), in base al quale è consentita la comunicazione dei soli dati non ecce-
denti la finalità istituzionale perseguita.
• Garante 27 ottobre 1999, in Bollettino n. 10, pag. 78 (v. anche www.garanteprivacy.it: doc. n. 40887)

L’applicabilità della legge n. 675/1996 non comporta necessariamente un regime di asso-


luta riservatezza dei dati, dovendosi verificare di volta in volta se sussistono altri interessi meri-
tevoli di tutela disciplinati da norme di legge o di regolamento; in tal senso, fra le disposizioni non
abrogate dalla legge n. 675/1996 devono considerarsi ricomprese anche le norme che riguardano
la conoscibilità del calendario dei processi, della pubblicità delle udienze e degli esiti dei giudizi,
nonché quelle concernenti l’accesso ai registri giudiziari e l’estrazione di copia di atti processuali,
trattandosi di materia che resta prevalentemente regolata dalle norme processuali vigenti.
• Garante 27 ottobre 1999, in Bollettino n. 10, pag. 78 (v. anche www.garanteprivacy.it: doc. n. 40887)

Benché le norme processuali non siano state ancora rivisitate in dettaglio per essere inte-
grate e modificate alla luce dei nuovi principi in materia di trattamento dei dati personali, la
legge n. 675/1996 ha comunque reso immediatamente applicabili all’attività svolta “per ragioni
di giustizia” presso gli uffici giudiziari alcuni obblighi sulle modalità e sulla sicurezza del tratta-
mento, tra cui quelli di correttezza e di pertinenza sanciti dall’art. 9 e quelli sulle misure di sicu-
rezza fissati dal d.P.R. n. 318/1999.
• Garante 21 febbraio 2000, in Bollettino n. 11/12, pag. 9 (v. anche www.garanteprivacy.it: doc. n. 40237)

La circostanza che non tutti i principi posti dalla legge n. 675/1996 siano stati ulterior-
mente sviluppati sul piano normativo in relazione alle attività di giustizia non deve far ritenere
inoperanti detti principi, che dovrebbero essere attualmente tradotti in concrete misure attua-
tive anche di carattere organizzativo, opportunamente modulate in rapporto alle diverse
vicende processuali. In questa prospettiva, si pone una recente tendenza dell’ordinamento a
tutelare in ogni sede, in modo particolarmente rigoroso, la dignità e la riservatezza di persone
sieropositive o malate di A.I.D.S. o emotrasfusi, come dimostrato, oltre che dall’art. 286 bis del
c.p.p. in tema di custodia cautelare in caso di infezione da H.I.V. o di A.I.D.S., anche da specifi-
che disposizioni di settore che, pur non individuando specifiche cautele processuali, impon-
gono, a seconda dei casi, agli operatori sanitari o a “chiunque” venga a conoscenza di partico-
lari infezioni nell’esercizio delle proprie funzioni, di adottare, nell’ambito delle proprie compe-
tenze, tutte le misure occorrenti per la tutela della riservatezza della persona assistita (art. 5

TRATTAMENTI PARTICOLARI > TRATTAMENTI PER RAGIONI DI GIUSTIZIA > 179


UFFICI GIUDIZIARI
della legge n. 135/1990 e art. 3, comma 1 bis, della legge n. 210/1992).
• Garante 21 febbraio 2000, in Bollettino n. 11/12, pag. 9 (v. anche www.garanteprivacy.it: doc. n. 40237)

L’art. 270, comma 1, c.p.p., concernente l’inutilizzabilità dei risultati delle intercettazioni
telefoniche in determinati procedimenti penali, prevede una limitazione all’uso di tali elementi
di prova solo in altri procedimenti penali. La stessa disposizione, invece, non preclude in linea
generale l’utilizzazione dei medesimi risultati – se lecitamente acquisiti in base al codice – in
procedimenti diversi da quello penale, come quello di tipo disciplinare. Tale comunicazione di
dati personali da parte dell’autorità giudiziaria non viola l’art. 27, comma 2, della legge
n. 675/1996, considerato che ai trattamenti svolti da parte degli uffici giudiziari si applicano
solo alcune disposizioni in materia di protezione dei dati personali, specificamente enumerate
nell’art. 4, comma 2, della medesima legge, tra cui non figura l’art. 27.
• Garante 27 giugno 2001, in Bollettino n. 21, pag. 18 (v. anche www.garanteprivacy.it: doc. n. 40213)

Al trattamento di dati personali operato, per ragioni di giustizia, da una Procura della
Repubblica, non si applicano, ai sensi dell’art. 4, comma 1, lett. d), della legge n. 675/1996, gli
artt. 13 e 29 della legge. Il ricorso presentato ai sensi dell’art. 29 è, quindi, inammissibile, salva
la possibilità per l’interessato di inviare al Garante una segnalazione o un reclamo per chiedere
la verifica della rispondenza del trattamento ai requisiti stabiliti dalla legge o dai regolamenti
(artt. 31, comma 1, lett. d) e p) e 32 della legge n. 675/1996, in relazione all’art. 4, comma 1 della
legge).
• Garante 25 ottobre 2001, in Bollettino n. 23, pag. 19 (v. anche www.garanteprivacy.it: doc. n. 40739)

Consiglio superiore della magistratura

Anche in relazione ai trattamenti di dati personali effettuati dal Consiglio Superiore della
Magistratura deve essere operata una puntuale distinzione fra trattamenti operati per scopi
“amministrativi“ e quelli che, avendo riflessi diretti sul piano giudiziario, debbono essere consi-
derati svolti “per ragioni di giustizia“ (art. 4, comma 1 della legge n. 675/1996). Questi ultimi
sono assoggettati alle sole disposizioni della legge n. 675/1996 indicate nell’art. 4, comma 2,
mentre i primi sono inclusi per intero nell’ambito applicativo della legge.
• Garante 2 dicembre 1997, in Bollettino n. 2, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 38929)

Nella nozione di trattamento di dati personali dell’interessato svolto per ragioni di giustizia
(art. 4, comma 1, lett. d),della legge n. 675/1996) rientra anche quello effettuato dagli uffici giu-
diziari e dal Consiglio superiore della magistratura attinente alla responsabilità disciplinare di un
magistrato in relazione ad una vicenda giudiziaria che coinvolga l’interessato stesso. Pertanto,

180 Massimario 1997/2001 • Soggetti pubblici


nei confronti di tale trattamento non possono essere esercitati i diritti previsti dall’art. 13 della
legge n. 675/1996, né può essere proposto il ricorso di cui all’art. 29, ferma restando la possibi-
lità per l’interessato di inviare al Garante una segnalazione o un reclamo per chiedere la verifica
della rispondenza del trattamento ai requisiti stabiliti dalla legge o dai regolamenti (artt. 31,
comma 1, lett. d) e p) e 32 della legge n. 675/1996, in relazione all’art. 4, comma 2 della legge).
• Garante 25 ottobre 2001, in Bollettino n. 23, pag. 31 (v. anche www.garanteprivacy.it: doc. n. 39845)

Prevenzione, accertamento e repressione dei reati


Fermo restando l’obbligo del rispetto delle disposizioni già applicabili ex art. 4, comma 2,
della legge n. 675/1996 (in particolare gli artt. 7, 9, 15, 17, 18, 31, 32 commi 6 e 7, 34 e 36 della
legge), i trattamenti di dati per finalità giudiziarie o, comunque, di prevenzione dei reati non sono
ancora disciplinati con sufficiente chiarezza da norme di legge che abbiano il livello di dettaglio
previsto anche dall’art. 1, comma 1, lett. i) della legge n. 676/1996, sicché, al momento, restando
esclusi tali trattamenti dall’applicazione delle altre disposizioni della legge sulla protezione dei
dati personali, non è possibile formulare una domanda di accesso o di cancellazione ai sensi del-
l’art. 13 nei confronti di organi o uffici di polizia (quali, ad esempio, un comando periferico
dell’Arma dei CC); in ogni caso, resta impregiudicata la facoltà per l’interessato di segnalare al
Garante eventuali inosservanze di legge o di regolamento relative ai trattamenti in questione.
• Garante 7 gennaio 1999, in Bollettino n. 7, pag. 33 (v. anche www.garanteprivacy.it: doc. n. 39728)

L’acquisizione, da parte di una Procura della Repubblica, delle cartelle cliniche di alcuni
giocatori di calcio a mezzo di personale ispettivo di un’A.S.L. è conforme ai principi sanciti dalla
legge n. 675/1996, in quanto effettuato, anche per le specifiche modalità con cui si sono svolti i
controlli, nell’ambito di un’attività comunque riconducibile alle ipotesi delineate dall’art. 4,
comma 1, lett. e) della legge.
• Garante 9 gennaio 1999, in Bollettino n. 7, pag. 37 (v. anche www.garanteprivacy.it: doc. n. 40891)

I principi di pertinenza e non eccedenza nel trattamento dei dati personali sanciti dal-
l’art. 9 della legge n. 675/1996 obbligano anche gli organi di polizia e l’autorità giudiziaria a svol-
gere l’attività di raccolta, utilizzazione e divulgazione dei dati con modalità tali da non recare agli
interessati un pregiudizio ingiustificato rispetto alle finalità perseguite. Non appare rispettosa di
detti principi la divulgazione, da parte della polizia giudiziaria, attraverso organi di informazione,
di alcuni dati personali (fotografie e generalità) di una prostituta, che sia stato accertato essere
affetta dal virus dell’H.I.V., al fine di informare le persone che avevano avuto con la stessa rap-
porti a rischio, potendo la finalità informativa essere raggiunta, tenuto conto anche delle speci-
fiche garanzie di riservatezza approntate per i soggetti sieropositivi dalla legge n. 135/1990,
attraverso procedure più selettive, basate, ad esempio, sulla notizia della sieropositività di una

TRATTAMENTI PARTICOLARI > PREVENZIONE, ACCERTAMENTO E REPRESSIONE DEI REATI 181


persona che pratichi abitualmente la prostituzione in una determinata zona, accompagnata dal-
l’istituzione di un servizio di informazione ed assistenza (es.: un numero verde) cui gli interes-
sati potessero rivolgersi.
• Garante 13 aprile 1999, in Bollettino n. 10, pag. 72 (v. anche www.garanteprivacy.it: doc. n. 39077)

Le richieste di dati personali per esigenze di polizia giudiziaria sono riconducibili ai tratta-
menti disciplinati dall’art. 4 della legge n. 675/1996 (“Particolari trattamenti in ambito pub-
blico”), sia quando sono formulate nell’ambito di attività delegate dall’Autorità giudiziaria (art. 4,
comma 1, lett. d)), sia quando derivano da un’attività investigativa o d’indagine di iniziativa degli
organi di polizia (art. 4, comma 1, lett. e) e artt. 347 e ss. c.p.p.); ad esse, pertanto, deve darsi
corso in base alle relative norme del codice di procedura penale.
• Garante 6 ottobre 1999, in Bollettino n. 10, pag. 69 (v. anche www.garanteprivacy.it: doc. n. 41762)

Natura pubblica dei soggetti


Ai sensi dell’art. 27, comma 2 della legge n. 675/1996, il centro sociale, quale struttura
facente capo direttamente all’amministrazione comunale, è legittimato ad acquisire informazioni
presso gli uffici finanziari, gli enti previdenziali ed i singoli comuni di provenienza per verificare la
posizione reddituale e patrimoniale degli ospiti.
• Garante 29 maggio 1998, in Bollettino n. 4, pag. 69 (v. anche www.garanteprivacy.it: doc. n. 40799)

Le Agenzie regionali per l’impiego istituite dalla legge n. 56/1987, in quanto soggetti pubblici,
soggiacciono alla speciale disciplina prevista dagli artt. 27 e 22, comma 3 della legge n. 675/1996,
che consentono il trattamento dei dati solo se previsto da apposite previsioni di legge. Ne conse-
gue che va esclusa la possibilità di rendere pubbliche le liste di mobilità in favore di aziende o asso-
ciazioni di categoria che ne facciano richiesta, in quanto la normativa di settore (artt. 6 e ss. della
legge n. 223/1991; d.lg. n. 469/1997; decreto del Ministero del lavoro dell’8 maggio 1998, pubbli-
cato sulla G.U. del 6 giugno 1998) prevede un obbligo di connessione e di scambio dei dati solo tra
soggetti specificamente individuati (Ministero del lavoro, regioni, enti locali, imprese di fornitura di
lavoro temporaneo e soggetti autorizzati alla mediazione tra domanda e offerta di lavoro).
• Garante 12 ottobre 1998, in Bollettino n. 6, pag. 55 (v. anche www.garanteprivacy.it: doc. n. 42272)

Ai fini dell’applicazione della legge n. 675/1996, la società che gestisce il servizio telefonico
non può essere considerata come un soggetto pubblico (principio affermato in fattispecie di richie-
sta da parte del Ministero delle telecomunicazioni alla T.I.M. s.p.a. di comunicare dati anagrafici,

182 Massimario 1997/2001 • Soggetti pubblici


numero telefonico e data di cessazione del contratto di un campione di abbonati ed utenti, al fine
della verifica dei tempi di restituzione dell’anticipo per le conversazioni interurbane).
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 107 (v. anche www.garanteprivacy.it: doc. n. 30851)

All’Ufficio italiano cambi si applica la particolare disciplina prevista, per i soggetti pubblici,
dall’art. 27 della legge n. 675/1996 in materia di operazioni di trattamento dei dati personali, ivi
comprese quelle inerenti alla loro comunicazione e diffusione (fattispecie relativa alla raccolta,
comunicazione e diffusione dei dati relativi all’anagrafe dei valori mobiliari, disciplinate dal d.P.R.
n. 148/1998).
• Garante 26 luglio 1999, in Bollettino n. 9, pag. 65 (v. anche www.garanteprivacy.it: doc. n. 40991)

L’Ufficio per la mediazione penale di Milano, costituito su iniziativa di più soggetti pubblici in
base ad un protocollo d’intesa, è strutturalmente dotato di caratteristiche tali da consentirne
l’ascrizione alla sfera degli organismi pubblici che, operando per finalità di assistenza sociale, spe-
cie in favore di minori, possono trattare dati di carattere personale per il perseguimento delle pro-
prie funzioni istituzionali.
• Garante 17 febbraio 2000, in Bollettino n. 11/12, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 40675)

Regimi particolari di pubblicità degli atti

Casi particolari
Anagrafe e stato civile

La legge n. 675/1996 non ha modificato la normativa concernente la tenuta dei registri dello
stato civile e quella relativa alle anagrafi della popolazione, così come rispettivamente delineate
dal r.d. n. 1238/1939, dal codice civile, dalla legge 24 dicembre 1954 n. 1228, dal d.P.R. n. 223/1989
e dalla legge n. 127/1997. Pertanto, ai sensi dell’art. 27, commi 2 e 3 della legge n. 675/1996, è
lecito il rilascio a terzi, da parte del Comune, di certificazioni anagrafiche, purché risultino osservati
i limiti stabiliti in materia dagli artt. 33, 34 e 35 del d.P.R. n. 223/1989; al contrario, deve ritenersi
illegittima la prassi di un Comune di fornire dati ed elenchi a terzi (nel caso di specie i nominativi
dei nati e dei deceduti nel territorio comunale alle redazioni dei giornali locali) al di fuori delle
modalità previste dalla disciplina dei registri dello stato civile, degli atti anagrafici o di altra nor-
mativa.
• Garante 22 luglio 1997, in Bollettino n. 1, pag. 43 (v. anche www.garanteprivacy.it: doc. n. 30927)

REGIMI PARTICOLARI DI PUBBLICITÀ DEGLI ATTI > CASI PARTICOLARI > 183
ANAGRAFE E STATO CIVILE
Ai sensi dell’art. 27, comma 3 della legge n. 675/1996, è illegittima la prassi degli uffici
comunali di fornire dati ed elenchi a terzi al di fuori delle modalità previste dalla disciplina dei
registri dello stato civile e degli atti anagrafici o da altra normativa.
• Garante 29 maggio 1998, in Bollettino n. 4, pag. 65 (v. anche www.garanteprivacy.it: doc. n. 41055)

Mentre è possibile, ai sensi del d.P.R. n. 352/1992, la diffusione a terzi – che ne facciano
richiesta – di singole notizie relative a nascite, morti o matrimoni acquisite caso per caso dal-
l’ufficiale di stato civile, è contraria ai principi fissati dalla legge n. 675/1996 la prassi di richie-
dere al medesimo la redazione quotidiana di interi elenchi di nati, deceduti o nubendi da pub-
blicare con assiduità sugli organi di stampa.
• Garante 29 maggio 1998, in Bollettino n. 4, pag. 65 (v. anche www.garanteprivacy.it: doc. n. 41055)

Le pubblicazioni di matrimonio di cui agli artt. 93 e ss. del codice civile, consistendo uni-
camente in affissioni all’albo pretorio dei comuni di residenza dei nubendi, sono pubbliche e,
come tali, possono essere visionate da chiunque e riferite sugli organi di stampa, ma non pos-
sono essere comunicate o diffuse da parte dell’ufficiale di stato civile al di fuori dei modi espres-
samente previsti dalla normativa in materia. A fortiori, tale divieto di comunicazione e diffusione
vale per le richieste di pubblicazione che, non solo possono non sfociare nella pubblicazione
(art. 98 c.c.), ma sono annotate nell’apposito registro per il quale valgono, in via generale, le
norme stabilite dal codice civile e dal r.d. n. 1238/1939 per i registri di cittadinanza, di nascita, di
matrimonio e di morte, che non prevedono una loro libera consultabilità da parte dei privati. È
irrilevante, in ogni caso, qualsiasi consenso fornito dagli interessati alla diffusione di tali elen-
chi, vertendosi in tema di trattamento di dati operato da soggetti pubblici.
• Garante 29 maggio 1998, in Bollettino n. 4, pag. 65 (v. anche www.garanteprivacy.it: doc. n. 41055)

Ai sensi del combinato disposto dell’art. 27 della legge n. 675/1996 e dell’art. 34 del d.P.R.
n. 223/1989, l’ufficiale dell’anagrafe può rilasciare – anche periodicamente – elenchi di iscritti
all’anagrafe della popolazione residente solo alle amministrazioni pubbliche, che ne facciano
motivata richiesta per esclusivo uso di pubblica utilità (art. 34, comma 1); al contrario, tali elen-
chi non possono essere rilasciati in favore di privati, ai quali i dati anagrafici possono essere
comunicati in forma anonima ed aggregata, qualora ne sia fatta richiesta per fini statistici e di
ricerca e il Comune disponga di idonee apparecchiature (art. 34, comma 2).
• Garante 10 giugno 1998, in Bollettino n. 4, pag. 72 (v. anche www.garanteprivacy.it: doc. n. 42200)

La circostanza che l’iscrizione nell’elenco degli elettori dei Comites, di per sé soggetta a
pubblicità, venga effettuata d’ufficio sulla base degli schedari istituiti a norma dell’art. 67 del
d.P.R. n. 200/1967 (c.d. anagrafe consolare), non consente un’estensione del medesimo regime
di conoscibilità in favore di detti schedari, ostandovi non solo il dettato normativo di cui alla

184 Massimario 1997/2001 • Soggetti pubblici


legge n. 205/1985, ma anche la disciplina fissata dall’art. 27, comma 3 della legge n. 675/1996
che, in relazione al trattamento dei dati in ambito pubblico, consente la comunicazione a terzi
solo in presenza di una puntuale disposizione di legge o di regolamento.
• Garante 18 maggio 1999, in Bollettino n. 8, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 39636)

Con riferimento alla c.d. “anagrafe consolare”, la disciplina anagrafica di cui al d.P.R.
n. 223/1989 è applicabile – in quanto compatibile – soltanto in relazione ai dati relativi all’i-
scrizione nello schedario dei cittadini residenti nella circoscrizione consolare (dati anagrafici e
professionali) e non anche per altri dati ivi contenuti (atti o fatti relativi allo status di cittadino,
al godimento dei diritti civili e politici, ecc.) che, per espressa disposizione di legge, possono
essere utilizzati dall’ufficio consolare per “finalità di tutela degli interessi del connazionale”
(art. 67, u.c.). Pertanto, questi ultimi dati sono divulgabili a terzi nei limiti in cui ciò sia even-
tualmente previsto da specifiche disposizioni normative diverse da quelle relative al rilascio
degli atti anagrafici, ferma restando, in ogni caso, l’eventuale loro comunicabilità ove ricorrano
i presupposti di cui all’art. 27, commi 2 e 3 della legge n. 675/1996.
• Garante 18 maggio 1999, in Bollettino n. 8, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 39636)

Gli schedari istituiti a norma dell’art. 67 del d.P.R. n. 200/1967 (c.d. “anagrafe conso-
lare”) debbono ritenersi pubblici in quanto contenenti notizie che, essendo acquisite dai sin-
goli uffici consolari per il tramite delle dichiarazioni rese dai cittadini che trasferiscono la resi-
denza all’estero, vanno considerate anch’esse pubbliche alla stregua di quanto previsto dal-
l’art. 1, comma 12 della legge n. 470/1988. Inoltre, poiché tali schedari costituiscono, ai sensi
dell’art. 1 del d.P.R. n. 323/1989, parti delle anagrafi della popolazione di cui alla legge 24
dicembre 1954 n. 1228, si deve ritenere che i dati anagrafici in essi contenuti siano conoscibili,
oltre che dietro apposita richiesta di certificazione avanzata ex art. 67, comma 2 del d.P.R.
n. 200/1967, anche in base agli artt. 33 e 34 del d.P.R. n. 223/1989.
• Garante 18 maggio 1999, in Bollettino n. 8, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 39636)

La legge n. 675/1996, recante norme in materia di protezione dei dati personali, non ha
modificato direttamente la normativa relativa ai registri dello stato civile e alla disciplina degli
atti anagrafici, né ha introdotto ulteriori divieti di rendere conoscibili le informazioni in que-
stione, ma ha previsto che le amministrazioni e gli enti pubblici, in un quadro di maggiore tra-
sparenza, possono diffondere i dati personali da essi detenuti quando ciò sia previsto da norme
di legge o di regolamento rispettando, peraltro, il limite e le modalità previste dalla specifica
disciplina di settore (art. 27, comma 3).
• Garante 23 maggio 2000, in Bollettino n. 13, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40229)

REGIMI PARTICOLARI DI PUBBLICITÀ DEGLI ATTI > CASI PARTICOLARI > 185
ANAGRAFE E STATO CIVILE
Fatta salva la particolare disciplina in materia di accesso ai documenti amministrativi posta
dalla legge n. 241/1990, la cui perdurante applicabilità non è pregiudicata dalle disposizioni con-
tenute nella legge n. 675/1996 e nel d.lg. n. 135/1999, non è possibile comunicare o diffondere a
privati i dati personali provenienti dagli archivi anagrafici al di fuori delle ipotesi specificamente
previste dalla normativa di settore (v. artt. 32 e 34, commi 1 e 2, del d.P.R. n. 223/1989).
• Garante 23 maggio 2000, in Bollettino n. 13, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40229)

Non risultano compatibili con la disciplina anagrafica vigente e, conseguentemente, con i


principi posti dall’art. 27 della legge n. 675/1996, sia la libera consultazione diretta delle anagrafi
(attraverso, ad esempio, l’interrogazione individuale o di massa di qualsiasi dato contenuto negli
archivi), sia una loro indifferenziata interconnessione con le banche dati del soggetto che richiede
le informazioni.
• Garante 26 maggio 2000, in Bollettino n. 13, pag. 15 (v. anche www.garanteprivacy.it: doc. n. 39300)

Gli archivi anagrafici non permettono un prelevamento diretto dei dati, fuori dai casi espres-
samente consentiti; inoltre, i dati anagrafici, a parte le certificazioni rilasciabili a chiunque ne fac-
cia richiesta, possono essere comunicati all’esterno solo a pubbliche amministrazioni e per “esclu-
sivo uso di pubblica utilità” (art. 34, comma 1, del d.P.R. n. 223/1989).
• Garante 20 giugno 2000, in Bollettino n. 13, pag. 11 (v. anche www.garanteprivacy.it: doc. n. 40441)

L’accesso, costante e indiscriminato, da parte dei privati a tutte le informazioni non sensibili
contenute nella banca dati anagrafica di un Comune è precluso in radice e non può essere disposto
dall’ente locale chiedendo il consenso degli interessati alla comunicazione dei propri dati perso-
nali. Le disposizioni del regolamento anagrafico prevedono, infatti, la comunicazione (e non la dif-
fusione) dei dati anagrafici solo ad amministrazioni pubbliche, e non anche ai privati, e per soli fini
di pubblica utilità (art. 34 del d.P.R. n. 223/1989).
• Garante 5 dicembre 2000, in Bollettino n. 14/15, pag. 22 (v. anche www.garanteprivacy.it: doc. n. 40273)

Consiglio dell’Ordine degli avvocati


Alla luce dei principi evincibili dalla normativa di settore (r.d.l. n. 1578/1933 e r.d.
n. 37/1934), i provvedimenti disciplinari adottati dal Consiglio dell’Ordine degli avvocati e dal
Consiglio nazionale forense, pur in assenza di ulteriori e più analitiche disposizioni di legge o di
regolamento che prevedano particolari modalità di diffusione dei dati o, comunque, la loro divul-
gazione in favore di soggetti diversi da quelli indicati dall’art. 46 r.d.l. n. 1578/1933, sono atti pub-
blici sottoposti ad un generale regime di conoscibilità posto a favore sia degli iscritti (anche diversi
dai destinatari della sanzione irrogata) che dei terzi.
• Garante 29 marzo 2001, in Bollettino n. 18, pag. 20 (v. anche www.garanteprivacy.it: doc. n. 39536)

186 Massimario 1997/2001 • Soggetti pubblici


Ordini professionali
Architetti
Poiché gli albi professionali degli architetti sono soggetti ad un regime di pubblicità
(art. 5 della legge n. 1395/1923; artt. 3 e 23 del r.d. n. 2537/1925) che, di fatto, ne consente la
conoscibilità da parte di chiunque, ai sensi dell’art. 27, commi 2 e 3 della legge n. 675/1996,
gli ordini professionali possono sia consegnare copia di detti albi ad altri enti pubblici o ad
ordini provinciali, sia comunicare e diffondere a privati od enti pubblici economici i dati per-
sonali in essi contenuti.
• Garante 22 luglio 1997, in Bollettino n. 1, pag. 40 (v. anche www.garanteprivacy.it: doc. n. 39456)

Ai sensi della legge n. 675/1996, i Consigli dell’Ordine possono raccogliere e fornire a


terzi elenchi di liberi professionisti e di altri operatori del settore di riferimento qualora i dati
oggetto di trattamento provengano da pubblici registri, elenchi, atti o documenti conoscibili
da chiunque, oppure riguardino lo svolgimento di attività economiche da parte degli interes-
sati (art. 12, comma 1, lett. c) ed f ); art. 20, comma 1, lett. b) ed e)). In caso contrario, il trat-
tamento dei dati non può prescindere dal preventivo consenso degli interessati (es.: soggetti
che, pur non essendo liberi professionisti, siano comunque inseriti in detti elenchi).
• Garante 14 gennaio 1999, in Bollettino n. 7, pag. 9 (v. anche www.garanteprivacy.it: doc. n. 39244)

Assistenti sociali

La disciplina di settore degli assistenti sociali, contrariamente a quanto avviene di norma


per i vari settori professionali, non prevede alcun genere di pubblicità per il relativo albo profes-
sionale. Infatti, né la legge n. 84/1993 (istitutiva dell’albo), né il d.m. n. 615/1994 disciplinano
espressamente la pubblicità e la consultazione dell’albo o la sua conoscibilità da parte di altri
soggetti pubblici o privati (ad esempio, attraverso la trasmissione di copie ad altre istituzioni),
con la conseguenza che, sebbene non sussistano ostacoli alla consegna di un esemplare del-
l’albo ad altri soggetti pubblici laddove ciò risulti necessario per lo svolgimento delle funzioni
istituzionali (essendo sufficiente, ex art. 27, comma 2 della legge n. 675/1996, una mera comu-
nicazione al Garante), allo stato non risulta invece possibile la comunicazione dei dati contenuti
nell’albo a soggetti privati (in mancanza di una puntuale disposizione di legge o di regolamento
che lo consenta).
• Garante 29 marzo 1999, in Bollettino n. 8, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 40161)

REGIMI PARTICOLARI DI PUBBLICITÀ DEGLI ATTI > CASI PARTICOLARI > 187
ORDINI PROFESSIONALI > ASSISTENTI SOCIALI
Dottori commercialisti

Poiché l’albo professionale dei dottori commercialisti è soggetto ad un regime di comu-


nicazione ad altre amministrazioni (art. 29 del d.P.R. n. 1067/1953) che, di fatto, ne consente
una diffusa conoscibilità da parte di chiunque, ai sensi dell’art. 27, comma 3 della legge
n. 675/1996 l’Ordine professionale può comunicare e diffondere a privati e ad enti pubblici
economici i dati personali in esso contenuti.
• Garante 4 agosto 1997, in Bollettino n. 1, pag. 46 (v. anche www.garanteprivacy.it: doc. n. 30843)

Geometri

La legge n. 675/1996 non ha modificato la disciplina legislativa relativa al regime di pub-


blicità degli albi e alla conoscibilità degli atti ad essi connessi (cfr. artt. 12, comma 1, lett .c), 20,
comma 1, lett. b), 28, comma 4, lett. f ) e 43, comma 2); in particolare, il r.d. n. 274/1929, recante
il “regolamento per la professione di geometra”, all’art. 8 individua i soggetti cui i Collegi dei
geometri devono comunicare l’albo e i provvedimenti di sospensione dall’esercizio della profes-
sione. Tali dati possono, peraltro, essere comunicati anche ad altri soggetti pubblici, sempre che
ciò risulti necessario per lo svolgimento di precise funzioni istituzionali di almeno una delle
amministrazioni interessate – Collegio o ente ricevente – (v. art. 27, comma 2 della legge
n. 675/1996). Ai sensi della legge n. 675/1996 (art. 27, comma 3), non è, invece, possibile dif-
fondere i medesimi dati a soggetti privati, se non in presenza di una precisa previsione norma-
tiva (quale quella contenuta nell’art. 22 della legge n. 241/1990).
• Garante 16 giugno 1999, in Bollettino n. 9, pag. 72 (v. anche www.garanteprivacy.it: doc. n. 38981)

Medici

Poiché gli albi dei medici chirurghi sono soggetti ad un regime di pubblicità (art. 3 del
d.lg. C.p.S. n. 238/1946; artt. 2 e 3 del d.P.R. n. 221/1950) che, di fatto, ne consente la cono-
scibilità da parte di chiunque, ai sensi dell’art. 27, commi 2 e 3 della legge n. 675/1996, gli
ordini professionali possono sia consegnare copia di detti albi ad altri enti pubblici, AA.SS.LL.
o ordini provinciali, sia comunicare e diffondere a privati od enti pubblici economici i dati per-
sonali in essi contenuti.
• Garante 30 giugno 1997, in Bollettino n. 1, pag. 33 (v. anche www.garanteprivacy.it: doc. n. 39320)

Tecnici radiologi

Il d.P.R. n. 221/1950, nel disporre annualmente la stampa e la pubblicazione degli albi


degli ordini delle professioni sanitarie – tra cui quello dei tecnici sanitari di radiologia medica

188 Massimario 1997/2001 • Soggetti pubblici


– e il loro invio a vari soggetti ed amministrazioni pubbliche, ne determina, di fatto, una dif-
fusa conoscibilità presso le amministrazioni destinatarie. Per quanto concerne tale diffusione,
la legge n. 675/1996 esclude che debba essere acquisito il consenso degli interessati quando
il trattamento riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conosci-
bili da chiunque (artt. 12, comma 1, lett. c) e 20, comma 1, lett. b)).
• Garante 26 ottobre 1998, in Bollettino n. 6, pag. 12 (v. anche www.garanteprivacy.it: doc. n. 41075)

Ragionieri e periti commerciali

La legge n. 675/1996 non ha modificato la disciplina legislativa relativa al regime di pub-


blicità degli albi professionali e alla conoscibilità degli atti ad essi connessi (artt. 12, comma 1,
lett. c); 20, comma 1, lett. b); 28, comma 4, lett. f ); 43, comma 2).
• Garante 23 giugno 1998, in Bollettino n. 5, pag. 12 (v. anche www.garanteprivacy.it: doc. n. 39901)

Alla luce delle disposizioni del d.P.R. n. 1068/1953 sull’ordinamento della professione di
ragioniere e perito commerciale (in specie l’art. 29), e tenuto conto che gli albi dei liberi profes-
sionisti sono ispirati per loro stessa natura e funzione ad un regime di piena pubblicità, anche in
funzione della tutela dei diritti di coloro che a vario titolo hanno rapporti con gli iscritti, deve rite-
nersi consentito al Consiglio dell’Ordine di comunicare e di diffondere a privati i dati personali
contenuti nell’albo (art. 29 del d.P.R. cit.; art. 27, comma 3 della legge n. 675/1996).
• Garante 23 giugno 1998, in Bollettino n. 5, pag. 12 (v. anche www.garanteprivacy.it: doc. n. 39901)

Titolari di cariche elettive e di incarichi dirigenziali

La legge n. 675/1996 non ha modificato le disposizioni della legge n. 441/1982 sulla pub-
blicità della situazione patrimoniale dei titolari di alcune cariche elettive o direttive che, per
effetto della legge n. 127/1997, trovano applicazione anche nei confronti del personale dirigen-
ziale – o equiparato – delle amministrazioni pubbliche.
• Garante 14 gennaio 1999, in Bollettino n. 7, pag. 15 (v. anche www.garanteprivacy.it: doc. n. 42228)

Il regime di pubblicità della situazione patrimoniale relativa al personale dirigenziale


delle amministrazioni pubbliche – come stabilito dal combinato degli artt. 17, comma 22 della
legge n. 127/1997 e 12 della legge n. 441/1992 – non fa sorgere l’obbligo di pubblicare i dati
patrimoniali relativi a tali soggetti, né il diritto di conoscere il contenuto dei loro cedolini dello
stipendio, nei quali possono essere contenute informazioni di vario genere (multe disciplinari,
pignoramenti, cessioni di stipendio, ecc.), alcune delle quali aventi anche natura “sensibile”
(sussidi di cura, iscrizione sindacale, ecc.). Ne consegue che il diritto attribuito al consigliere

REGIMI PARTICOLARI DI PUBBLICITÀ DEGLI ATTI > CASI PARTICOLARI > 189
ORDINI PROFESSIONALI > TITOLARI DI CARICHE ELETTIVE E DI INCARICHI DIRIGENZIALI
Telecomunicazioni
e reti telematiche

• Profili generali

• Casi particolari
comunale dall’art. 31, comma 5 della legge n. 142/1990 di accedere ai documenti formati dalla
pubblica amministrazione di appartenenza e a qualsiasi notizia od informazione utili ai fini del-
l’esercizio delle funzioni consiliari può, con riferimento alla materia in esame, essere altrimenti
soddisfatto attraverso la pubblicità della situazione patrimoniale dei dirigenti (v. leggi
n. 142/1990 e n. 127/1997 citate), l’esame dei contratti collettivi e l’accesso alle deliberazioni e
alle determinazioni, concernenti indennità e altri emolumenti corrisposti, adottate
dall’Amministrazione a favore dei dipendenti.
• Garante 8 giugno 1999, in Bollettino n. 9, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 40369)

Consultazione del Garante da parte delle


pubbliche amministrazioni
La mancata attivazione della procedura di consultazione del Garante, prevista dall’art. 31,
comma 2 della legge n. 675/1996 per gli atti regolamentari e amministrativi suscettibili di inci-
dere sulla materia dei dati personali, determina un vizio del provvedimento emanato.
• Garante 11 agosto 1998, in Bollettino n. 5, pag. 26 (v. anche www.garanteprivacy.it: doc. n. 41003)

Ai sensi dell’art. 31, comma 2, della legge n. 675/1996, i regolamenti e gli atti amministra-
tivi adottati senza la consultazione del Garante sono annullabili per violazione della legge nazio-
nale e del diritto comunitario in materia.
• Garante 20 ottobre 2000, in Bollettino n. 14/15, pag. 24 (v. anche www.garanteprivacy.it: doc. n. 42264)

Ai sensi dell’art. 31, comma 2, della legge n. 675/1996, il Presidente del Consiglio dei mini-
stri e ciascun ministro debbono consultare il Garante all’atto di emanare norme regolamentari e
atti amministrativi suscettibili di incidere sulle materie disciplinate dalla legge. Tali atti, ove
emessi senza il preventivo parere del Garante, sono quindi illegittimi ed annullabili per viola-
zione della legge n. 675/1996 e del diritto comunitario in materia.
• Garante 9 gennaio 2001, in Bollettino n. 16, pag. 48 (v. anche www.garanteprivacy.it: doc. n. 30983)

190 Massimario 1997/2001 • Soggetti pubblici


Profili generali
In caso di offerta, da parte di un provider, di un accesso gratuito ad Internet, l’interessato
ha la facoltà di acconsentire a servizi che subordinino il suo accesso alla cessione di dati identi-
ficativi o attinenti a gusti, preferenze ed interessi, sempre che ciò avvenga in conformità alle
leggi, soprattutto in riferimento al rilascio di un consenso effettivamente libero, specifico ed
informato ed al concreto rispetto del principio di correttezza del trattamento; a tal fine, occorre
che l’interessato riceva previamente tutte le informazioni necessarie per comprendere appieno
le finalità e le modalità del trattamento dei suoi dati, non solo di quelli forniti direttamente, ma
anche di quelli che vengano acquisiti successivamente (nel caso di specie, a seguito di un moni-
toraggio delle attività svolte dall’utente via Internet).
• Garante 13 gennaio 2000, in Bollettino n. 11/12, pag. 52 (v. anche www.garanteprivacy.it: doc. n. 30911)

Casi particolari

Concessionari di servizi telefonici


Ai fini dell’applicazione della legge n. 675/1996, la società che gestisce il servizio telefonico
non può essere considerata come un soggetto pubblico (principio affermato in fattispecie di
richiesta da parte del Ministero delle telecomunicazioni alla T.I.M. s.p.a. di comunicare dati ana-
grafici, numero telefonico e data di cessazione del contratto di un campione di abbonati ed utenti,
al fine della verifica dei tempi di restituzione dell’anticipo per le conversazioni interurbane).
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 107 (v. anche www.garanteprivacy.it: doc. n. 30851)

In linea di principio, le disposizioni della legge n. 675/1996 non incidono, né pongono osta-
coli nei confronti di specifici obblighi contrattuali in base ai quali deve essere effettuata una
comunicazione di dati personali, salva l’adozione di particolari accorgimenti che la legge pone a
tutela degli interessati. Ne consegue che quando l’obbligo, per un gestore del servizio telefo-
nico, di rendere disponibili, nei confronti dell’amministrazione vigilante, talune informazioni
sugli abbonati, ai fini del controllo sul corretto esercizio della concessione, discende dall’adem-
pimento di clausole contrattuali, il gestore ha l’onere di informare gli interessati e di richiedere
loro il consenso, ove questo non sia già stato manifestato.
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 107 (v. anche www.garanteprivacy.it: doc. n. 30851)

In linea di principio, le disposizioni della legge n. 675/1996 non incidono, né pongono osta-
coli nei confronti di precise disposizioni normative in base alle quali deve essere effettuata una

TELECOMUNICAZIONI E RETI TELEMATICHE> PROFILI GENERALI > 195


comunicazione di dati personali. Ne consegue che quando una norma di legge o di regolamento pre-
vede l’obbligo per un gestore del servizio telefonico di rendere disponibili, nei confronti dell’ammi-
nistrazione vigilante, talune informazioni sugli abbonati, ai fini del controllo sul corretto esercizio
della concessione, la comunicazione dei dati è ammessa anche senza il consenso degli abbonati
interessati, in conformità alla condizione individuata dall’art. 20, comma 1, lett. c), della legge.
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 107 (v. anche www.garanteprivacy.it: doc. n. 30851)

E-mail e spamming
Viola la privacy chi utilizza a fini di comunicazione politica, senza il consenso degli interes-
sati, indirizzi e-mail reperiti in rete. La mera conoscibilità degli indirizzi di posta elettronica non
consente, infatti, di per sé, l’invio generalizzato di e-mail (c.d. spamming), quale che sia il con-
tenuto dei messaggi, compreso quello politico-elettorale. Né può invocarsi la previsione, conte-
nuta nella legge, relativa a “pubblici registri, elenchi, atti o documenti conoscibili da chiunque”,
che non può essere riferita a qualunque dato personale che sia di fatto consultabile, ma ai soli
dati che siano sottoposti ad un regime giuridico di piena conoscibilità da parte di chiunque,
come può ritenersi, ad esempio, per gli elenchi telefonici.
• Garante 11 gennaio 2001, in Bollettino n. 16, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 40823)

La conoscenza degli indirizzi e-mail che si realizza attraverso la partecipazione degli utenti
a forum e newsgroup è legata alle finalità per le quali essa avviene. Non è quindi corretto racco-
gliere tali indirizzi e generalità ed utilizzarli, senza preventivo consenso degli interessati, per
scopi diversi quali, ad esempio, lo spamming.

Garante 11 gennaio 2001, in Bollettino n. 16, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 40823)

Informazioni sul dipendente contenute in e-mail


Le informazioni sul comportamento osservato da un lavoratore, fornite con messaggi di
posta elettronica inviati ai superiori gerarchici da dipendenti o da altri collaboratori azien-
dali, rientrano nell’ampia nozione di dato personale di cui all’art. 1,comma 2, lett. c), della
legge n. 675/1996, con conseguente diritto del lavoratore interessato ad accedervi.
• Garante 30 ottobre 2001, in Bollettino n. 23, pag. 86 (v. anche www.garanteprivacy.it: doc. n. 42078)

Pubblicità telefonica
Nell’ambito del servizio “GratisTel”, che offre la possibilità di effettuare telefonate gratuite

196 M a s s i m a r i o 1 9 9 7 / 2 0 0 1 • Te l e c o m u n i c a z i o n i e r e t i t e l e m a t i c h e
interrotte da messaggi pubblicitari, anche i dati relativi alle utenze chiamate sono oggetto di trat-
tamento da parte della società che gestisce il servizio “GratisT S.r.l.”. Pertanto, gli abbonati chia-
mati tramite “GratisTel” devono essere informati e messi in grado di esprimere consapevolmente
le loro scelte in ordine ai trattamenti dei dati a scopo pubblicitario, nel rispetto di quanto previ-
sto dagli artt. 10, 11 e 12 della legge n. 675/1996 e dall’art. 10 del d.lg. n. 171/1998. La natura pri-
vata della conversazione, infatti, non preclude l’applicazione delle garanzie previste in materia
di trattamento dei dati personali e di sistemi pubblicitari di chiamata.
• Garante 13 novembre 1999, in Bollettino n. 10, pag. 54 (v. anche www.garanteprivacy.it: doc. n. 30899)

Con riferimento al servizio “Gratis Tel”, che offre la possibilità di effettuare telefonate gratuite
interrotte da messaggi pubblicitari, la società che fornisce il servizio – GratisT S.r.l. – deve rendere
facilmente accessibile agli interessati/sottoscrittori un elenco costantemente aggiornato degli
inserzionisti, recante gli estremi identificativi dei titolari e dei responsabili del trattamento, al fine
di consentire un agevole esercizio dei diritti riconosciuti dall’art. 13 della legge n. 675/1996.
• Garante 13 novembre 1999, in Bollettino n. 10, pag. 54 (v. anche www.garanteprivacy.it: doc. n. 30899)

Servizi informatici di postalizzazione


I soggetti privati che gestiscono per conto dell’I.n.p.s. servizi informatici di postalizzazione
(es.: il servizio Postel) per il trattamento di dati personali finalizzato alla liquidazione degli asse-
gni per il nucleo familiare e di maternità, debbono essere designati dall’Istituto/titolare come
responsabili del trattamento ai sensi dell’art. 8 della legge n. 675/1996, in quanto viene loro affi-
data l’esecuzione, sia pure con un certo grado di autonomia, solo di una parte strumentale delle
operazioni di trattamento necessarie per perseguire le finalità del titolare.
• Garante 2 giugno 1999, in Bollettino n. 9, pag. 11 (v. anche www.garanteprivacy.it: doc. n. 39857)

Servizi di posta elettronica ibrida epistolare


L’utilizzatore/abbonato al servizio di posta elettronica ibrida epistolare (p.e.i.e.) si confi-
gura come il “titolare” del trattamento, cui spettano i poteri e le responsabilità concernenti la
trattazione dei dati personali contenuti nelle comunicazioni. Ciascun organismo che opera in tale
settore (quale la Poste Italiane s.p.a. od altre società) può invece svolgere – ciascuno singolar-
mente, o anche congiuntamente, in caso di suddivisione dei compiti (v. art. 8, comma 4 della
legge n. 675/1996) – il ruolo del “responsabile” del trattamento, ove con atto scritto venga desi-
gnato a sovrintendere ai trattamenti connessi alla ricezione dei messaggi inviati dal titolare, alla
loro conversione su supporto cartaceo ed al successivo imbustamento.
• Garante 19 dicembre 1998, in Bollettino n. 6, pag. 117 (v. anche www.garanteprivacy.it: doc. n. 41941)

CASI PARTICOLARI > SERVIZI INFORMATICI DI POSTALIZZAZIONE 197


Ricade nel campo di applicazione della legge n. 675/1996 il trattamento dei dati personali
effettuato dagli operatori del servizio di posta elettronica ibrida epistolare (p.e.i.e.), che prevede
l’invio da parte del cliente di un messaggio di posta elettronica all’operatore p.e.i.e., il quale lo
trasmette ai propri centri, collegati in rete per via telematica, dove il messaggio viene convertito
su supporto cartaceo ed imbustato per il successivo inoltro. Tali operazioni, infatti, sebbene
effettuate in via temporanea e mediante ricorso a tecniche di cifratura, comportano trattamento
di dati personali, secondo la definizione offerta dall’art. 1, comma 2, lett.. c), della legge.
• Garante 19 dicembre 1998, in Bollettino n. 6, pag. 74 (v. anche www.garanteprivacy.it: doc. n. 40169)

Sistemi di interconnessione telematica tra banche dati


La disciplina delle modalità di utilizzo delle banche dati pubbliche da parte delle varie
amministrazioni deve essere contenuta in norme di legge o di regolamento, in conformità alle
condizioni previste dall’art. 27 della legge n. 675/1996, al fine di realizzare un trasparente flusso
di dati ispirato ad omogenei criteri che garantiscano la protezione dei dati medesimi nel rispetto
dei principi di pertinenza, completezza e non eccedenza sanciti dall’art. 9, lett. d) della legge.
• Garante 4 marzo 1999, in Bollettino n. 8, pag. 16 (v. anche www.garanteprivacy.it: doc. n. 41187)

Utenze e traffico telefonico


La misura, messa in atto da alcuni fornitori di servizi telefonici, del “mascheramento”, in
sede di fatturazione dettagliata, delle ultime cifre delle utenze telefoniche chiamate, è prevista dal
d.lg. n. 171/1998 (attuativo della Direttiva n. 97/66/CE, e pubblicato sulla G.U. n. 127 del 1998) al
fine di conciliare il diritto dell’abbonato di controllare l’esattezza degli addebiti con i diritti di altri
soggetti la cui sfera privata è interessata dalla fatturazione stessa (es.: componenti del nucleo
familiare dell’abbonato, dipendenti del datore di lavoro titolare dell’utenza, destinatari delle tele-
fonate, ecc.); detta misura, peraltro, può essere superata laddove emergano concrete esigenze di
controllo sulle somme addebitate, ispirate da un motivato reclamo propedeutico ad un’azione giu-
diziaria, ovvero direttamente collegate ad un’azione legale, come consentito dalla legge
n. 675/1996, che rende ammissibile per il titolare del trattamento la comunicazione dei dati per-
sonali ove tale operazione risulti necessaria per far valere o difendere un diritto in sede giudiziaria
(art. 20, comma 1, lett. g)).
• Garante 5 ottobre 1998, in Bollettino n. 6, pag. 101 (v. anche www.garanteprivacy.it: doc. n. 40751)

La legge n. 675/1996, nonostante il “mascheramento” nella fatturazione dettagliata intro-


dotto dal d.lg. n. 171/1998 con riferimento alle chiamate telefoniche in uscita, permette agli
abbonati, che intendano esercitare i propri diritti in relazione ad addebiti da essi contestati o
ritenuti controversi, di conoscere comunque la composizione integrale dei numeri chiamati.
• Garante 5 ottobre 1999, in Bollettino n. 10, pag. 51 (v. anche www.garanteprivacy.it: doc. n. 39881)

198 M a s s i m a r i o 1 9 9 7 / 2 0 0 1 • Te l e c o m u n i c a z i o n i e r e t i t e l e m a t i c h e
Gli estremi identificativi delle utenze telefoniche intestate ai singoli condòmini o ai loro fami-
liari non possono essere annoverati tra quelli oggetto di necessaria ed obbligatoria comunicazione
all’interno del condominio, in quanto non rappresentano elementi utili a determinare i diritti o gli
oneri sulla cosa comune, ne è rinvenibile alcun obbligo di legge in tal senso. Resta, peraltro, ferma
la possibilità per l’amministratore di condominio di comunicare i numeri di telefono ai condòmini
richiedenti, con il consenso degli interessati (art. 11 della legge n. 675/1996).
• Garante 19 maggio 2000, in Bollettino n. 13, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 42268)

Con riferimento alla particolare categoria di dati rappresentata dal traffico telefonico “in
entrata” in una determinata utenza, la legge n. 675/1996 garantisce il diritto di accedere anche
ai dati personali non ancora registrati (art. 13, comma 1, lett. c), n. 1)), oltreché a quelli dissemi-
nati in più luoghi o archivi, ovvero conservati in modo disorganico. L’accesso non può, invece,
riguardare dati non raccolti o che divengono materialmente esistenti solo a seguito di una spe-
cifica attività creativa complessa o che potrebbe essere realizzata solo con la collaborazione di
altri soggetti. Le relative valutazioni vanno condotte caso per caso, nel quadro delle condizioni
tecniche del settore (fattispecie anteriore all’entrata in vigore del d.lg. n. 467/2001).
• Garante 8 giugno 2000, in Bollettino n. 13, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 40473)

I numeri delle utenze telefoniche mobili sono dati personali ai sensi dell’art. 1 della legge
n. 675/1996 .
• Garante 20 giugno 2001, in Bollettino n. 21, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 39316)

In via di principio, nell’ambito dei “dati personali” suscettibili di accesso ai sensi del-
l’art. 13 della legge n. 675/1996, rientrano sia le telefonate effettuate dall’utenza telefonica
dell’interessato (c.d. “in uscita”), sia quelle “in entrata” sull’utenza stessa. Con specifico rife-
rimento a quelle “in entrata”, il diritto di accesso si estende anche ai dati non ancora registrati
(art. 13, comma 1, lett. c), n. 1 della legge n. 675/1996), a quelli disseminati in più luoghi ed
archivi ed a quelli conservati in modo disorganico (casi per i quali l’art. 17, comma 9, del d.P.R.
n. 501/1998 impone al titolare del trattamento l’adozione di opportune misure per agevolare
l’accesso, tenendo presente la definizione di “dato personale” di cui all’art. 1 della legge
n. 675/1996); restano invece esclusi, secondo una valutazione da effettuare caso per caso nel
quadro delle condizioni tecniche di settore, i dati personali non raccolti o che divengono mate-
rialmente esistenti solo a seguito di una specifica e complessa attività creativa, eventualmente
realizzabile soltanto in virtù della collaborazione resa da altri soggetti (fattispecie anteriore
all’entrata in vigore del d.lg. n. 467/2001).
• Garante 17 ottobre 2001, in Bollettino n. 23, pag. 44 (v. anche www.garanteprivacy.it: doc. n. 40385)

CASI PARTICOLARI > UTENZE E TRAFFICO TELEFONICO 199


La mera offerta da parte del gestore telefonico della disponibilità a fornire in dettaglio il
traffico telefonico “in uscita” dall’utenza dell’interessato, non seguita dalla concreta messa a
disposizione dell’elenco delle singole chiamate, non vale a costituire adempimento dell’obbligo
connesso all’esercizio del diritto d’accesso di cui all’art. 13 della legge n. 675/1996; ne consegue
l’accoglimento del ricorso proposto al Garante ai sensi dell’art. 29 della legge.
• Garante 30 ottobre 2001, in Bollettino n. 23, pag. 84 (v. anche www.garanteprivacy.it: doc. n. 39616)

In via di principio, nell’ambito dei “dati personali”, suscettibili di accesso ai sensi dell’art. 13
della legge n. 675/1996, rientrano sia le telefonate effettuate dall’utenza telefonica dell’interes-
sato (c.d. “in uscita”), sia quelle “in entrata” sull’utenza stessa. Con specifico riferimento a quelle
“in entrata”, il diritto di accesso si estende anche ai dati non ancora registrati, a quelli disseminati
in più luoghi ed archivi ed a quelli conservati in modo disorganico; restano invece esclusi, secondo
una valutazione da effettuare caso per caso, nel quadro delle condizioni tecniche di settore, i dati
personali non raccolti o che divengono materialmente esistenti solo a seguito di una specifica e
complessa attività creativa, eventualmente realizzabile soltanto in virtù della collaborazione resa
da altri soggetti (fattispecie anteriore all’entrata in vigore del d.lg. n. 467/2001).
• Garante 5 dicembre 2001, in Bollettino n. 23, pag. 48 (v. anche www.garanteprivacy.it: doc. n. 40683)

Sia le chiamate in uscita che quelle in entrata relative alla utenza telefonica dell’interes-
sato debbono essere considerate suoi dati personali ai sensi dell’art. 1, comma 1, lett. c), della
legge n. 675/1996, contenendo informazioni ad esso collegabili relative ai contatti intrapresi
nella sfera personale o nella vita di relazione, nell’attivare o ricevere comunicazioni (fattispecie
anteriore all’entrata in vigore del d.lg. n. 467/2001).
• Garante 12 dicembre 2001, in Bollettino n. 23, pag. 44 (v. anche www.garanteprivacy.it: doc. n. 40385)

Il gestore del servizio telefonico deve fornire all’abbonato, che ne faccia espressa richiesta
ai sensi dell’art. 13 della legge n. 675/1996, il dettaglio integrale del traffico telefonico “in
uscita” dall’utenza, senza il mascheramento delle ultime tre cifre dei numeri chiamati previsto
dall’art. 5 d.lg. n. 171/1998.
• Garante 12 dicembre 2001, in Bollettino n. 23, pag. 44 (v. anche www.garanteprivacy.it: doc. n. 40385)

La richiesta dell’abbonato di conoscere i dati personali relativi alle telefonate “in entrata”
sull’utenza a lui intestata costituisce espressione del diritto di accesso ai dati garantito dal-
l’art. 13 della legge n. 675/1996. L’accesso si estende ai dati, già esistenti nella concreta dispo-
nibilità del gestore del servizio telefonico, non ancora registrati (art. 13, comma 1, lett. c), n. 1), a
quelli disseminati in più luoghi ed archivi ed a quelli conservati in modo disorganico (fattispecie
anteriore all’entrata in vigore del d.lg. n. 467/2001).
• Garante 12 dicembre 2001, in Bollettino n. 23, pag. 44 (v. anche www.garanteprivacy.it: doc. n. 40385)

200 M a s s i m a r i o 1 9 9 7 / 2 0 0 1 • Te l e c o m u n i c a z i o n i e r e t i t e l e m a t i c h e
Diritti
dell’interessato

• Modalità di esercizio

• Diritto di accesso

• Blocco del trattamento

• Cancellazione, aggiornamento, rettifica


o integrazione dei dati

• Opposizione al trattamento

• Origine dei dati

• Limiti all’esercizio dei diritti


Modalità di esercizio

Dimostrazione dell’identità personale da parte dell’inte-


ressato
Il titolare del trattamento deve avanzare tempestivamente all’interessato la richiesta di esi-
bire, o allegare, la copia di un documento d’identità all’istanza formulata ai sensi dell’art. 13 della
legge n. 675/1996; in difetto, la relativa eccezione non può essere accolta (fattispecie nella quale
il Garante non ha accolto, perché ritenuta tardiva, l’eccezione proposta dal titolare solo a seguito
della proposizione da parte dell’interessato del ricorso ex art. 29 della legge).
• Garante 29 settembre 1999, in Bollettino n. 10, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 41147)

La formulazione dell’art. 17 del d.P.R. n. 501/1998 indica chiaramente che l’allegazione della
copia di un documento d’identità all’istanza proposta ai sensi dell’art. 13 della legge n. 675/1996
non rappresenta per l’interessato un obbligo, ma solo una possibile soluzione al fine di dimo-
strare la propria identità, essendo idonea anche una individuazione dell’istante realizzata
attraverso altre modalità di identificazione, quali la conoscenza personale o l’attestazione da
parte di terzi.
• Garante 29 settembre 1999, in Bollettino n. 10, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 41147)

Ai sensi dell’art. 17, comma 2, del d.P.R. n. 501/1998, l’esibizione al titolare del trattamento
di un documento di riconoscimento costituisce soltanto una delle possibili modalità – né esclu-
siva né obbligatoria – di essa, alla quale debbono ritenersi equipollenti anche la conoscenza per-
sonale o l’accertamento dell’identità personale attraverso altri atti o elementi già in possesso
del titolare del trattamento (nel caso di specie, il pregresso accertamento dell’identità personale
dell’interessato è stato ravvisato nei precedenti contatti intercorsi tra la società assicuratrice e
l’interessato, cui era stata addirittura già formulata una proposta d’indennizzo).
• Garante 17 gennaio 2001, in Bollettino n. 16, pag. 20 (v. anche www.garanteprivacy.it: doc. n. 38925)

Ai sensi dell’art. 17, comma 2, del d.P.R. n. 501/1998, l’esibizione al titolare del trattamento
di un documento di riconoscimento costituisce soltanto una delle possibili modalità – né esclu-
siva né obbligatoria – di essa, alla quale debbono ritenersi equipollenti anche la conoscenza per-
sonale o l’accertamento dell’identità personale attraverso altri atti o elementi già in possesso
del titolare del trattamento.
• Garante 14 marzo 2001, in Bollettino n. 18, pag. 15 (v. anche www.garanteprivacy.it: doc. n. 39564)
• Garante 26 marzo 2001, in Bollettino n. 18, pag. 12 (v. anche www.garanteprivacy.it: doc. n. 40707)

MODALITÀ DI ESERCIZIO > DIMOSTRAZIONE DELL’IDENTITÀ PERSONALE DA PARTE DELL’INTERESSATO 205


La legge n. 675/1996 e il d.P.R. n. 501/1998 hanno configurato in modo agevole l’esercizio
dei diritti di cui all’art. 13 della legge, senza imporre particolari formalità per l’interessato e pre-
scrivendo al titolare del trattamento l’obbligo di adottare misure atte a semplificare l’accesso ed
a ridurre i tempi delle risposte. Pertanto, ai sensi dell’art. 17, comma 2, del d.P.R. n. 501/1998,
l’esibizione al titolare di un documento di riconoscimento costituisce soltanto una delle moda-
lità – né esclusiva né obbligatoria – di dimostrazione, da parte dell’interessato, della propria
identità personale, alla quale debbono ritenersi equipollenti anche la conoscenza personale del-
l’interessato o l’accertamento della sua identità personale attraverso altri atti o elementi già in
possesso del titolare del trattamento.
• Garante 2 maggio 2001, in Bollettino n. 20, pag. 23 (v. anche www.garanteprivacy.it: doc. n. 39208)

Pluralità di titolari del trattamento


L’accertata infondatezza del ricorso proposto ai sensi dell’art. 29 della legge n. 675/1996
nei confronti del titolare del trattamento, non pregiudica la facoltà per il ricorrente di esercitare
i diritti di cui all’art. 13 della legge presso altri titolari o responsabili di trattamenti dei dati che
lo riguardano.
• Garante 29 settembre 1999, in Bollettino n. 10, pag. 45 (v. anche www.garanteprivacy.it: doc. n. 40025)
• Garante 9 dicembre 1999, in Bollettino n. 10, pag. 48 (v. anche www.garanteprivacy.it: doc. n. 42300)

Non possono essere accolte richieste di cancellazione dei dati nei confronti di titolari, che
eventualmente li detengano, nei cui confronti l’interessato non abbia direttamente proposto il
ricorso di cui all’art. 29 della legge n. 675/1996, e che comunque non abbiano preso parte al
relativo procedimento; il titolare, nei cui confronti è presentato il ricorso, non ha infatti un potere
diretto di far cancellare dati contenuti in archivi gestiti da distinti ed autonomi titolari (nella spe-
cie, l’interessato ha proposto il ricorso nei confronti della società dalla quale ha ottenuto un
finanziamento, chiedendo però la cancellazione dei dati trasmessi da tale società ad altro sog-
getto, gestore di una “centrale rischi” privata, nei cui confronti il ricorrente non ha inoltrato
alcuna richiesta diretta).
• Garante 29 settembre 1999, in Bollettino n. 10, pag. 45 (v. anche www.garanteprivacy.it: doc. n. 40025)
• Garante 9 dicembre 1999, in Bollettino n. 10, pag. 48 (v. anche www.garanteprivacy.it: doc. n. 42300)

Nel caso in cui una pluralità di titolari effettui contestualmente distinti trattamenti di dati
personali, l’interessato, ai fini del valido esercizio del diritto di accesso, è tenuto ad identificare
in modo inequivoco i singoli titolari, ciascuno dei quali deve essere destinatario di apposita
istanza ai sensi dell’art. 13 della legge n. 675/1996.
• Garante 24 settembre 2001, in Bollettino n. 22, pag. 75 (v. anche www.garanteprivacy.it: doc. n. 38917)

206 Massimario 1997/2001 • Diritti dell’interessato


Proposizione immediata del ricorso
• V.: TUTELA AMMINISTRATIVO-GIURISDIZIONALE E SANZIONI > R ICORSO AL GARANTE >
INAMMISSIBILITÀ > PROPOSIZIONE IMMEDIATA DEL RICORSO (P. 249)

Diritto di accesso

Profili generali
I diritti di accesso ai dati personali previsti dall’art. 13 della legge n. 675/1996 possono
essere esercitati anche nei confronti dei dati raccolti ed utilizzati dai servizi sociali dei Comuni.
• Garante 23 giugno 1998, in Bollettino n. 5, pag. 20 (v. anche www.garanteprivacy.it: doc. n. 39949)

L’art. 13 della legge n. 675/1996 non prevede il necessario rilascio di copie di atti, bensì
obbliga il titolare o il responsabile del trattamento ad estrarre dai propri archivi e documenti
tutte le informazioni su supporto cartaceo o informatico che riguardano l’interessato e a riferir-
gliele con modalità idonee a rendere i dati facilmente comprensibili. Non può escludersi, peral-
tro, la necessità di esibire o consegnare copia di interi atti o documenti, o parte di essi, che
riguardino anche terze persone, nel solo caso in cui i dati relativi all’interessato e ai terzi siano
intrecciati a tal punto da essere incomprensibili, o snaturati nel loro contenuto, se privati di
alcuni elementi, o scomposti rispetto alla loro originaria collocazione.
• Garante 23 giugno 1998, in Bollettino n. 5, pag. 20 (v. anche www.garanteprivacy.it: doc. n. 39949)

Secondo quanto stabilito dall’art. 17, comma 9 del d.P.R. n. 501/1998, il titolare del tratta-
mento deve adottare, ai fini di una efficace applicazione dell’art. 13 della legge n. 675/1996,
opportune misure volte a facilitare l’esercizio dei diritti di accesso dell’interessato ai dati che lo
riguardano, anche attraverso l’impiego di apposite procedura informatiche di gestione e di con-
sultazione della propria banca dati, nonché a semplificare le modalità per il riscontro al richie-
dente e a ridurre i relativi tempi.
• Garante 29 settembre 1999, in Bollettino n. 10, pag. 31 (v. anche www.garanteprivacy.it: doc. n. 39045)

Come previsto dall’art. 41 della legge n. 675/1996, i diritti attribuiti all’interessato dagli
artt. 13 e 29 della legge possono essere esercitati anche nei confronti dei titolari di banche dati
costituite prima dell’entrata in vigore della legge n. 675/1996, o che effettuino trattamenti ini-
ziati precedentemente a tale data.
• Garante 29 settembre 1999, in Bollettino n. 10, pag. 31 (v. anche www.garanteprivacy.it: doc. n. 39045)

MODALITÀ DI ESERCIZIO > PROPOSIZIONE IMMEDIATA DEL RICORSO 207


L’art. 17, comma 9 del d.P.R. n. 501/1998 prevede che, ai fini di un’efficace applicazione del-
l’art. 13 della legge n. 675/1996, i titolari del trattamento devono adottare, anche attraverso l’u-
tilizzo di apposite procedure informatiche, opportune misure volte a facilitare l’esercizio dei
diritti contemplati da detta disposizione, nonché a semplificare le modalità per fornire un riscon-
tro ai richiedenti nei termini di legge.
• Garante 27 ottobre 1999, in Bollettino n. 10, pag. 38 (v. anche www.garanteprivacy.it: doc. n. 38937)

La società titolare del trattamento, cui l’interessato, in sede di esercizio dei diritti di cui
all’art. 13 della legge n. 675/1996, abbia richiesto di conoscere gli estremi identificativi del
responsabile, non può limitarsi ad indicare la carica ricoperta da questo soggetto – nella specie,
l’amministratore delegato pro tempore –, ma deve precisare gli elementi atti ad individuare la
persona fisica o l’organismo che riveste tale ruolo (generalità, residenza o sede).

Garante 9 dicembre 1999, in Bollettino n. 10, pag. 48 (v. anche www.garanteprivacy.it: doc. n. 42300)

Ai sensi dell’art. 13 della legge n. 675/1996, l’interessato può ottenere l’accesso alle sole
informazioni che lo riguardano attraverso estrazione delle stesse dagli archivi, atti e documenti
in possesso dell’amministrazione e loro trasposizione, in forma agevolmente comprensibile, su
di un supporto cartaceo od informatico (v. art. 17 del d.P.R. n. 501/1998).
• Garante 23 maggio 2000, in Bollettino n. 13, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40229)

L’istanza avanzata dall’interessato al titolare del trattamento (nella specie, un istituto di


credito) intesa a conoscere il nominativo del soggetto che ha commissionato la richiesta di infor-
mazioni commerciali sull’attività economica svolta dall’interessato stesso (intestatario di un c/c
bancario), nonché degli altri soggetti cui tali dati sarebbero stati comunicati, non rientra tra
quelle azionabili in forza dell’art. 13 della legge n. 675/1996. Il relativo ricorso, proposto ai sensi
dell’art. 29 della legge, deve essere quindi dichiarato inammissibile.
• Garante 13 febbraio 2001, in Bollettino n. 17, pag. 26 (v. anche www.garanteprivacy.it: doc. n. 30995)

Il titolare è tenuto a fornire riscontro, anche negativo, all’interessato che gli rivolga istanza
ex art. 13 della legge n. 675/1996 al fine di conoscere dell’esistenza o meno di dati personali che
lo riguardano (comma 1 , lett. c) , n. 1).
• Garante 27 febbraio 2001, in Bollettino n. 17, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40485)

I dati personali oggetto d’istanza d’accesso debbono essere comunicati in forma intel-
ligibile dal titolare del trattamento che, ai fini di una più efficace applicazione dell’art. 13
della legge n. 675/1996, ai sensi dell’art. 17, comma 9, del d.P.R. n. 501/1998 è tenuto ad

208 Massimario 1997/2001 • Diritti dell’interessato


adottare le opportune misure volte ad agevolare l’accesso dell’interessato. Ne consegue che
dev’essere accolto il ricorso diretto a conoscere il significato di alcuni codici utilizzati nella
formulazione di una diagnosi e ad ottenere una trascrizione dattiloscritta di alcune parti della
documentazione conservata nella cartella clinica dell’interessato, riportanti con grafia illeg-
gibile elementi e dati personali del ricorrente stesso.
• Garante 26 marzo 2001, in Bollettino n. 18, pag. 9 (v. anche www.garanteprivacy.it: doc. n. 41910)

Il ricorso di cui all’art. 29 della legge n. 675/1996 può avere ad oggetto solo i diritti tassa-
tivamente indicati dall’art. 13 della legge, tra i quali non rientra la richiesta volta a conoscere i
nominativi di terzi cui il titolare del trattamento abbia comunicato o diffuso dati personali del-
l’interessato. Ne consegue che il ricorso, ove diretto a far valere tale pretesa, è inammissibile.
• Garante 8 maggio 2001, in Bollettino n. 20, pag. 9 (v. anche www.garanteprivacy.it: doc. n. 39280)

Ai fini dell’esercizio del diritto d’accesso ai dati personali, l’interessato non è tenuto ad
esplicitare al titolare del trattamento le ragioni della richiesta avanzata ai sensi dell’art. 13 della
legge n. 675/1996.
• Garante 24 luglio 2001, in Bollettino n. 22, pag. 34 (v. anche www.garanteprivacy.it: doc. n. 39212)

Ai sensi degli artt. 13 e 29 della legge n. 675/1996, il titolare o il responsabile del tratta-
mento debbono fornire senza ritardo un riscontro compiuto ed analitico all’interessato in ordine
a tutte le informazioni di carattere personale che lo riguardano, comunicando i dati richiesti,
senza limitarsi ad una mera elencazione delle tipologie di dati detenuti.
• Garante 28 settembre 2001, in Bollettino n. 22, pag. 42 (v. anche www.garanteprivacy.it: doc. n. 41949)

Ai sensi degli artt. 13 della legge n. 675/1996 e 17 del d.P.R. n. 501/1998, il titolare del trat-
tamento deve comunicare, in modo compiuto ed analitico, le informazioni personali che riguar-
dano l’interessato, senza limitarsi ad una mera elencazione delle tipologie di dati detenuti.
• Garante 8 novembre 2001, in Bollettino n. 23, pag. 74 (v. anche www.garanteprivacy.it: doc. n. 40177)
• Garante 15 novembre 2001, in Bollettino n. 23, pag. 62 (v. anche www.garanteprivacy.it: doc. n. 39472)

Le informazioni personali detenute in modo cifrato o, comunque, in forma non immedia-


tamente leggibile da parte dell’incaricato del trattamento, purché ricollegabili ad una determi-
nata persona identificata o identificabile, costituiscono “dati personali” ai sensi dell’art. 1,
comma 2, lett. c), della legge n. 675/1996; ne consegue che, a seguito di rituale richiesta d’ac-
cesso, il titolare del trattamento deve provvedere alla loro “messa in chiaro” al fine di consen-
tirne un’agevole comprensione da parte dell’interessato.
• Garante 21 novembre 2001, in Bollettino n. 23, pag. 69 (v. anche www.garanteprivacy.it: doc. n. 39773)

DIRITTO DI ACCESSO > PROFILI GENERALI 209


Un giocatore di calcio ha diritto di accedere, ai sensi degli artt. 13 e 29 della legge
n. 675/1996, ai propri dati personali detenuti dalla F.I.G.C., nonché di conoscere la loro origine,
le finalità e le modalità del trattamento.
• Garante 28 novembre 2001, in Bollettino n. 23, pag. 55 (v. anche www.garanteprivacy.it: doc. n. 42010)

Anche le informazioni di carattere personale relative ad una minore e i disegni da questa


redatti, raccolti da un medico neuropsichiatra negli appunti presi nel corso di una visita specia-
listica, costituiscono oggetto del diritto di accesso da parte dell’interessato (nella specie, un
genitore della minore) azionabile ai sensi degli artt. 13 e 29 della legge n. 675/1996.
• Garante 28 novembre 2001, in Bollettino n. 23, pag. 57 (v. anche www.garanteprivacy.it: doc. n. 40353)

Richiesta di accesso ai documenti amministrativi


La legge n. 675/1996 non ha modificato la disciplina vigente in materia di accesso ai docu-
menti amministrativi posta dalla legge n. 241/1990 (che permette l’esercizio del diritto di
accesso a chiunque sia titolare di un interesse personale e concreto in relazione alla tutela di
situazioni giuridicamente rilevanti), né pone alcun ostacolo alla facoltà del giudice di acquisire
mezzi di prova in conformità alle norme processuali civili e penali (principio espresso nella
risposta ad un quesito posto da una amministrazione pubblica in ordine al rilascio di copia del
modello della dichiarazione dei redditi di un dipendente in favore di persona che intendeva
farne uso dinanzi all’Autorità giudiziaria al fine della richiesta di maggiorazione di un assegno
di mantenimento).
• Garante 10 dicembre 1997, in Bollettino n. 2, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 31039)

Le richieste di accesso presentate alle Camere di commercio dalle parti interessate alle
procedure di gara per appalti d’opera o di fornitura (in specie, alle singole offerte) debbono
essere valutate con riferimento alla legge n. 241/1990 (che riconosce il diritto di accesso ai docu-
menti amministrativi a chi è titolare di un interesse personale e concreto in relazione alla tutela
di situazioni giuridicamente rilevanti) e alla specifica normativa vigente in materia di appalti
(d.lg. n. 358/1992 e d.lg. n. 157/1995), che contempera il principio di trasparenza del procedi-
mento con il principio di pertinenza e non eccedenza affermato dalla legge n. 675/1996 (art. 9).
• Garante 8 giugno 1998, in Bollettino n. 6, pag. 10 (v. anche www.garanteprivacy.it: doc. n. 40185)

La legge n. 675/1996, che ha introdotto la disciplina del diritto di accesso da parte dell’in-
teressato ai dati che lo riguardano, non incide negativamente sulla normativa, posta a salva-
guardia della trasparenza dell’azione amministrativa, contenuta nella legge n. 241/1990 (e nel
d.P.R. n. 352/1992), che ha attribuito al cittadino che vi abbia interesse il diritto di accedere alla

210 Massimario 1997/2001 • Diritti dell’interessato


documentazione amministrativa per la tutela di situazioni giuridicamente rilevanti; la disciplina
sulla tutela dei dati personali non può, quindi, essere invocata per negare l’accesso ai documenti
esercitato in conformità alla richiamata normativa, dovendosi, peraltro, tenere conto, nel
momento di consentire l’accesso, del nuovo livello di tutela della riservatezza vigente nel nostro
ordinamento (quale, ad esempio, quello assicurato ai dati sensibili).
• Garante 9 giugno 1998, in Bollettino n. 5, pag. 9 (v. anche www.garanteprivacy.it: doc. n. 40269)

L’accesso ai documenti amministrativi, riconosciuto a chiunque vi abbia un interesse per-


sonale e concreto per la tutela di situazioni giuridicamente rilevanti (legge n. 241/1990; d.P.R.
n. 352/1992), non è pregiudicato dall’entrata in vigore della legge n. 675/1996, che ha fatto
salve, in quanto compatibili, le norme vigenti in materia. Pertanto, deve ritenersi che possa
essere esercitato, nei casi e nei limiti previsti dalla legge n. 241/1990 e dalle relative norme di
settore (v. d.P.R. n. 487/1994), l’accesso ai documenti inerenti allo svolgimento di un concorso
pubblico da parte di alcuni candidati che abbiano richiesto di accedere agli elaborati redatti da
altri candidati e ad ulteriori atti relativi alla procedura. Resta, peraltro, ferma l’esigenza che le
informazioni così acquisite siano utilizzate esclusivamente per la tutela delle situazioni giuridi-
camente rilevanti che hanno giustificato l’accesso.
• Garante 3 settembre 1998, in Bollettino n. 6, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 39368)

La legge n. 675/1996 consente la comunicazione e la diffusione di dati personali da parte


di soggetti pubblici a privati solo se previste da norme di legge o di regolamento (art. 27,
comma 3). Conseguentemente, non può trovare accoglimento la richiesta avanzata da un’im-
presa ad un Comune di predisporre elenchi nominativi dei soggetti che, in un certo periodo,
hanno proposto istanza per il rilascio di concessione edilizia o che hanno presentato la dichia-
razione di inizio e fine lavori, in quanto la normativa urbanistica non prevede una tale modalità
di comunicazione, che comporterebbe da parte dell’amministrazione un facere non previsto
dall’ordinamento. Peraltro, poiché l’art. 7 della legge n. 142/1990 sull’ordinamento delle auto-
nomie locali stabilisce che – salve le eccezioni ivi espressamente previste – tutti gli atti delle
amministrazioni comunali e provinciali sono pubblici, resta salva la possibilità per chiunque di
ottenere la visione o il rilascio di copia dei documenti delle medesime amministrazioni.
• Garante 26 ottobre 1998, in Bollettino n. 6, pag. 9 (v. anche www.garanteprivacy.it: doc. n. 30867)

Tra le disposizioni in materia di protezione dei dati personali e quelle – anche previgenti alla
legge n. 675/1996 – sulla trasparenza dell’attività della pubblica amministrazione, sull’accesso ai
documenti amministrativi e sulla pubblicità di taluni atti non sussiste alcuna incompatibilità di
fondo, in quanto la legge n. 675/1996 non ha introdotto un regime di assoluta riservatezza dei dati
personali; ne consegue che, di volta in volta, è necessario accertare se sussistano diritti o interessi
meritevoli di una tutela equivalente o superiore rispetto a quella fornita da tale legge.
• Garante 14 gennaio 1999, in Bollettino n. 7, pag. 15 (v. anche www.garanteprivacy.it: doc. n. 42228)

DIRITTO DI ACCESSO >RICHIESTA DI ACCESSO AI DOCUMENTI AMMINISTRATIVI 211


Il diritto di accesso di cui alla legge n. 241/1990, che si riferisce alla documentazione ammi-
nistrativa e può essere esercitato dal portatore di un interesse personale e qualificato per la
tutela di situazioni giuridicamente rilevanti, salvi i casi di esclusione previsti, differisce in termini
di oggetto e di presupposti dai diritti introdotti dalla legge n. 675/1996. Questi ultimi riguardano,
infatti, i dati personali e possono essere esercitati dalle persone cui si riferiscono senza partico-
lari formalità e limitazioni, ad eccezione di taluni diritti che richiedono una specifica situazione
(ad esempio, rettificazione di dati inesatti, cancellazione di dati utilizzati in violazione di legge,
opposizione ad un trattamento per motivi legittimi) e dei casi di esclusione tassativamente indi-
cati dalla legge (art. 14).
• Garante 12 luglio 2000, in Bollettino n. 13, pag. 38 (v. anche www.garanteprivacy.it: doc. n. 30923)

Non costituisce valido esercizio dei diritti di cui all’art. 13 della legge n. 675/1996, con con-
seguente inammissibilità del successivo ricorso proposto ai sensi dell’art. 29 della legge, la
richiesta d’accesso ai documenti amministrativi, che attiene ad un distinto diritto tutelato dalla
legge n. 241/1990.
• Garante 27 giugno 2001, in Bollettino n. 21, pag. 10 (v. anche www.garanteprivacy.it: doc. n. 39224)
• Garante 3 settembre 2001, in Bollettino n. 22, pag. 28 (v. anche www.garanteprivacy.it: doc. n. 38933)

Il diritto tutelato dall’art. 13, comma 1, della legge n. 675/1996 ha ad oggetto l’accesso del-
l’interessato ai soli dati personali, e non dev’essere confuso con il distinto diritto di accesso ai
documenti amministrativi, specificamente tutelato dalla legge n. 241/1990; comunque, ove l’e-
strazione dei dati oggetto dell’istanza ex art. 13 della legge risulti particolarmente difficoltosa,
l’adempimento del titolare del trattamento può avvenire anche tramite la modalità dell’esibi-
zione e/o della consegna in copia della documentazione che li contiene.
• Garante 24 luglio 2001, in Bollettino n. 22, pag. 34 (v. anche www.garanteprivacy.it: doc. n. 39212)

Il principio di alternatività di cui all’art. 29, comma 1, della legge n. 675/1996, opera sol-
tanto tra il Garante e l’a.g.o., unica autorità avente giurisdizione sulle controversie concernenti
l’applicazione della legge n. 675/1996 e, segnatamente, sui diritti di cui all’art. 13; pertanto, ove
l’interessato abbia preventivamente esercitato il diritto di accesso ai documenti amministrativi
innanzi al Giudice amministrativo (legge n. 241/1990), non sussistono preclusioni in relazione
alla possibilità di esercitare il distinto diritto di accesso ai dati innanzi al Garante – con conse-
guente ammissibilità del relativo ricorso – o, in via alternativa, all’a.g.o.
• Garante 17 settembre 2001, in Bollettino n. 22, pag. 72 (v. anche www.garanteprivacy.it: doc. n. 39476)

Accesso ai dati e accesso ai documenti


Poiché l’entrata in vigore della legge n. 675/1996 non ha pregiudicato le disposizioni in
materia di accesso ai documenti amministrativi che, anzi, ai sensi dell’art. 43, comma 2, vengono

212 Massimario 1997/2001 • Diritti dell’interessato


fatte espressamente salve, l’accesso può essere esercitato nei casi e nei limiti previsti dalla
legge n. 241/1990 e dal d.P.R. n. 352/1992 – che lo riconoscono a chiunque vi abbia un interesse
personale e concreto per la tutela di situazioni giuridicamente rilevanti – nonché nelle ipotesi
delineate da eventuali norme speciali vigenti in specifici settori (principio espresso in relazione
all’esercizio del diritto di accesso agli atti delle procedure di concorso – art. 12, comma 3 del
d.P.R. n. 487/1994).
• Garante 22 ottobre 1997, in Bollettino n. 2, pag. 23 (v. anche www.garanteprivacy.it: doc. n. 40329)

L’art. 13 della legge n. 675/1996 non prevede il necessario rilascio di copie di atti, bensì
obbliga il titolare o il responsabile del trattamento ad estrarre dai propri archivi e documenti
tutte le informazioni su supporto cartaceo o informatico che riguardano l’interessato e a riferir-
gliele con modalità idonee a rendere i dati facilmente comprensibili. Non può escludersi, peral-
tro, la necessità di esibire o consegnare copia di interi atti o documenti, o parte di essi, che
riguardino anche terze persone, nel solo caso in cui i dati relativi all’interessato e ai terzi siano
intrecciati a tal punto da essere incomprensibili, o snaturati nel loro contenuto, se privati di
alcuni elementi, o scomposti rispetto alla loro originaria collocazione.
• Garante 23 giugno 1998, in Bollettino n. 5, pag. 20 (v. anche www.garanteprivacy.it: doc. n. 39949)

Benché l’art. 13 della legge n. 675/1996 preveda soltanto un obbligo, a carico del titolare e
del responsabile del trattamento, di estrapolare i dati personali dell’interessato, non può esclu-
dersi, in casi particolari, la necessità di esibire o consegnare copia non tanto di singoli dati,
quanto di interi atti o documenti (o parte di essi) che riguardino anche terzi; ciò nella sola ipo-
tesi in cui i dati relativi al richiedente e ai terzi siano intrecciati al punto tale da essere incom-
prensibili o snaturati nel loro contenuto, se privati di alcuni elementi o scomposti rispetto alla
loro originaria collocazione.
• Garante 28 agosto 1998, in Bollettino n. 5, pag. 19 (v. anche www.garanteprivacy.it: doc. n. 41111)

Il titolare e il responsabile del trattamento, al fine di rendere possibile l’esercizio dei diritti
di cui all’art. 13 della legge n. 675/1996, debbono fornire senza ritardo all’interessato un riscon-
tro compiuto ed analitico in ordine a tutte le informazioni di carattere personale che lo riguar-
dano, presenti in archivi o in atti detenuti dal medesimo titolare o responsabile; a tal fine, non è
previsto il necessario rilascio di copie di atti, bensì l’obbligo del titolare o del responsabile del
trattamento di estrapolare dagli archivi e dai documenti, senza esclusioni di sorta, tutte le infor-
mazioni – contenute su supporto cartaceo o informatico – che riguardano il richiedente e a rife-
rirle a quest’ultimo con modalità idonee a rendere i dati facilmente comprensibili.
• Garante 28 agosto 1998, in Bollettino n. 5, pag. 19 (v. anche www.garanteprivacy.it: doc. n. 41111)

La richiesta di accesso ai dati personali formulata ai sensi dell’art. 13 della legge


n. 675/1996 non obbliga il titolare ad esibire ogni singolo documento dal quale possano essere

DIRITTO DI ACCESSO > ACCESSO AI DATI E ACCESSO AI DOCUMENTI 213


estrapolati i dati, ma può eventualmente rendere necessario stralciare e comunicare all’interes-
sato le parti del documento contenenti le informazioni che lo riguardano.
• Garante 19 dicembre 1998, in Bollettino n. 6, pag. 37 (v. anche www.garanteprivacy.it: doc. n. 39969)

L’esibizione e/o la consegna in copia della documentazione estratta a seguito della richie-
sta di accesso ai dati personali presentata ai sensi dell’art. 13 della legge n. 675/1996 possono
costituire adeguate modalità di adempimento da parte del titolare del trattamento, qualora la
consultazione dei documenti consenta ugualmente un’agevole comprensione dei dati personali
richiesti, considerata anche la qualità e la quantità delle informazioni, e risulti invece particolar-
mente difficoltosa l’estrazione dei dati stessi dai documenti e la loro trasposizione su apposito
supporto cartaceo od informatico, come previsto dall’art. 17, comma 6 del d.P.R. n. 501/1998.
• Garante 27 ottobre 1999, in Bollettino n. 10, pag. 38 (v. anche www.garanteprivacy.it: doc. n. 38937)

Benché l’art. 13 della legge n. 675/1996 non preveda, a fronte di un’istanza d’accesso, la
necessaria consegna della documentazione o dei supporti sui quali i dati sono conservati, per il
titolare del trattamento sussiste la necessità di esibire o consegnare copia di interi atti o docu-
menti, anche su supporto diverso da quello cartaceo, qualora le informazioni relative all’interes-
sato possano risultare incomprensibili o snaturate nel loro contenuto se private di alcuni ele-
menti essenziali.
• Garante 11 aprile 2000, in Bollettino n. 11/12, pag. 58 (v. anche www.garanteprivacy.it: doc. n. 40313)

L’esibizione e/o la consegna in copia della documentazione ai sensi dell’art. 13 della legge
n. 675/1996 possono costituire modalità d’adempimento adeguata per corrispondere alle richie-
ste di accesso ai dati personali dell’interessato, qualora la consultazione dei documenti, avuto
riguardo alla qualità e quantità delle informazioni ed alla difficoltà d’estrazione delle stesse,
consenta ugualmente un’agevole conoscenza dei dati richiesti.
• Garante 28 dicembre 2000, in Bollettino n. 16, pag. 10 (v. anche www.garanteprivacy.it: doc. n. 40647)
• Garante 4 luglio 2001, in Bollettino n. 22, pag. 26 (v. anche www.garanteprivacy.it: doc. n. 42002)
• Garante 19 luglio 2001, in Bollettino n. 22, pag. 40 (v. anche www.garanteprivacy.it: doc. n. 42236)
• Garante 17 settembre 2001, in Bollettino n. 22, pag. 32 (v. anche www.garanteprivacy.it: doc. n. 40771)

Ai sensi dell’art. 13 della legge n. 675/1996, l’interessato ha diritto di accedere ai propri


dati personali, che possono anche essere contenuti in fotografie, ma non può chiedere, invo-
cando il medesimo art. 13, di ottenere copia integrale dei negativi o delle pellicole fotografiche.
• Garante 4 gennaio 2001, in Bollettino n. 16, pag. 23 (v. anche www.garanteprivacy.it: doc. n. 41119)

214 Massimario 1997/2001 • Diritti dell’interessato


Ai sensi dell’art. 13 della legge n. 675/1996, l’interessato ha diritto di accedere ai propri
dati personali, ma non può chiedere, invocando il medesimo art. 13, di ottenere copia integrale
degli atti o di altri documenti contenenti tali dati.
• Garante 22 gennaio 2001, in Bollettino n. 16, pag. 17 (v. anche www.garanteprivacy.it: doc. n. 39961)

Nell’ambito dell’esercizio degli specifici diritti tutelati dall’art. 13 della legge n. 675/1996,
in particolare del diritto di accesso da parte dell’assicurato ai dati personali contenuti in una
perizia medico legale redatta su incarico della società di assicurazione, non è possibile preten-
dere di ottenere copia integrale degli atti o dei documenti contenenti i dati.
• Garante 19 febbraio 2001, in Bollettino n. 17, pag. 16 (v. anche www.garanteprivacy.it: doc. n. 40505)

Nell’ambito dell’esercizio degli specifici diritti tutelati dall’art. 13 della legge n. 675/1996,
in particolare del diritto di accesso da parte del dipendente ai dati personali detenuti dal datore
e riferiti all’attività lavorativa svolta, non è possibile pretendere di ottenere copia integrale degli
atti o dei documenti contenenti i dati, ove questi ultimi siano stati forniti attraverso la loro estra-
zione e messa a disposizione, anche se su supporti diversi dagli originali.
• Garante 19 aprile 2001, in Bollettino n. 19, pag. 12 (v. anche www.garanteprivacy.it: doc. n. 41842)

L’esercizio del diritto di cui all’art. 12-ter della legge n. 990/1969 (così come modificata
dalla legge n. 57/2001), che consente ai contraenti e ai danneggiati di accedere agli atti delle
imprese assicuratrici alla conclusione dei procedimenti di valutazione, constatazione e liquida-
zione dei danni che li riguardano, non preclude l’esercizio del diverso e concorrente diritto d’ac-
cesso ai dati personali riconosciuto dall’art. 13 della legge n. 675/1996.
• Garante 8 maggio 2001, in Bollettino n. 20, pag. 17 (v. anche www.garanteprivacy.it: doc. n. 39284)

Al fine di fornire riscontro all’istanza di accesso ai dati personali, formulata dall’interessato


ai sensi degli artt. 13 e 29 della legge n. 675/1996, il titolare, ove l’estrazione dei dati risulti par-
ticolarmente difficoltosa, può evadere la richiesta anche con l’esibizione o la consegna in copia
della documentazione nella quale i dati stessi siano contenuti.
• Garante 28 settembre 2001, in Bollettino n. 22, pag. 42 (v. anche www.garanteprivacy.it: doc. n. 41949)

Registri, elenchi, atti o documenti conoscibili da chiunque


Albi dei tecnici radiologi

Il d.P.R. n. 221/1950, nel disporre annualmente la stampa e la pubblicazione degli albi degli
ordini delle professioni sanitarie – tra cui quello dei tecnici sanitari di radiologia medica – e il loro

DIRITTO DI ACCESSO > REGISTRI, ELENCHI, ATTI O DOCUMENTI CONOSCIBILI DA CHIUNQUE 215
ALBI DEI TECNICI RADIOLOGI
invio a vari soggetti ed amministrazioni pubbliche, ne determina, di fatto, una diffusa conoscibi-
lità presso le amministrazioni destinatarie. Per quanto concerne tale diffusione, la legge n.
675/1996 esclude che debba essere acquisito il consenso degli interessati quando il trattamento
riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque
(artt. 12, comma 1, lett. c) e 20, comma 1, lett. b)).
• Garante 26 ottobre 1998, in Bollettino n. 6, pag. 12 (v. anche www.garanteprivacy.it: doc. n. 41075)

Dati reddituali dei contribuenti


• V.: PRIVATI ED ENTI PUBBLICI ECONOMICI > SETTORI DI ATTIVITÀ > ATTIVITÀ GIORNALISTICA > CASI
PARTICOLARI > DATI REDDITUALI DEI CONTRIBUENTI (P. 86)

Elenchi degli elettori dei comitati degli italiani all’estero

Anche gli elenchi degli elettori italiani residenti all’estero per le votazioni relative al
Parlamento europeo sono soggetti alla normativa posta dal d.P.R. n. 223/1967 (art. 51), concer-
nente la tenuta e la pubblicità delle liste elettorali; infatti, tali elenchi sono formati dal Ministero
dell’interno (e trasmessi al Ministero degli affari esteri, che li inoltra agli uffici consolari) sulla
base dei dati contenuti nelle liste elettorali, la cui piena conoscibilità non viene meno per effetto
della loro inclusione in detti elenchi.
• Garante 18 maggio 1999, in Bollettino n. 8, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 39636)

Ai sensi dell’art. 14, comma 3 della legge n. 205/1985, gli elenchi degli elettori dei comitati
degli italiani all’estero (Comites) sono pubblici, sicché essi, analogamente a quanto previsto
dalla disciplina sulla tenuta delle liste elettorali, sono ampiamente conoscibili da parte dei terzi,
sia pubblici che privati.
• Garante 18 maggio 1999, in Bollettino n. 8, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 39636)

Elenchi telefonici

Nell’ambito del procedimento instaurato a seguito di ricorso presentato ai sensi del-


l’art. 29 della legge n. 675/1996, va dichiarato non luogo a provvedere sull’istanza dell’inte-
ressato volta a conoscere l’origine dei dati personali utilizzati per l’invio di comunicazioni poli-
tiche a fine di propaganda elettorale e sulla opposizione all’ulteriore inoltro di analoghi mes-
saggi, ove il titolare del trattamento (nella specie, un candidato alle elezioni politiche) dia
riscontro alle richieste, precisando di avere estratto il nominativo del destinatario della comu-

216 Massimario 1997/2001 • Diritti dell’interessato


nicazione da elenchi pubblici (in particolare, dall’elenco telefonico) e si impegni a depennarlo
da ogni indirizzario in suo possesso.
• Garante 10 ottobre 2001, in Bollettino n. 23, pag. 136 (v. anche www.garanteprivacy.it: doc. n. 39404)

Liste elettorali

Ai sensi del combinato disposto degli artt. 27 della legge n. 675/1996 e 51 del
d.P.R. n. 223/1967, è lecita la comunicazione e la diffusione a terzi, da parte del Comune, dei dati
riportati nelle liste elettorali, in quanto da chiunque liberamente accessibili e cedibili.
• Garante 22 luglio 1997, in Bollettino n. 1, pag. 43 (v. anche www.garanteprivacy.it: doc. n. 30927)

L’art. 51 del d.P.R. n. 223/1967 sancisce un regime di piena conoscibilità e di pubblicità


delle liste elettorali, che prescinde da una valutazione delle specifiche finalità perseguite dal
soggetto richiedente, con la conseguenza che, allo stato della normativa, il diritto d’accesso alle
medesime non può essere limitato a seconda delle finalità o delle motivazioni sottese alle richie-
ste di accesso.
• Garante 20 aprile 1998, in Bollettino n. 4, pag. 13 (v. anche www.garanteprivacy.it: doc. n. 40493)

Secondo le disposizioni introdotte dal d.lg. n. 135/1999 che, in materia di trattamento di


dati sensibili da parte di soggetti pubblici, ha integrato le disposizioni poste dall’art. 22 della
legge n. 675/1996, nell’ambito delle attività in materia di elettorato e altri diritti politici sono
consentiti solo i trattamenti finalizzati all’esecuzione di specifici compiti previsti da leggi o
regolamenti (art. 8, comma 1 e 3); tra tali compiti, può essere ricompresa la comunicazione a
soggetti determinati dei dati e delle informazioni in possesso delle amministrazioni pubbliche
ai sensi della normativa sul diritto di accesso, nei limiti e alle condizioni ivi previsti (art. 22
della legge n. 241/1990). I trattamenti in questione devono, peraltro, essere effettuati nel
rispetto dei principi fissati dalla legge n. 675/1996 e dallo stesso d.lg. n. 135/1999 e, in parti-
colare, di quelli di pertinenza ed essenzialità dei dati trattati e del rispetto della finalità per-
seguita (art. 9 della legge n. 675/1996 e artt. 1 - 4 del d.lg n. 135/1999); in tal senso, appare
legittimo il rilascio dell’elenco dei sottoscrittori di una lista elettorale esclusivamente a sog-
getti che intendano servirsene per l’esercizio dei diritti politici (es.: nel caso che la richiesta
pervenga da candidati appartenenti a liste concorrenti).
• Garante 9 giugno 1999, in Bollettino n. 9, pag. 71 (v. anche www.garanteprivacy.it: doc. n. 40779)

Alla luce dell’esplicita previsione normativa contenuta nell’art. 51 del d.P.R. n. 227/1997,
chiunque può ottenere copia delle liste elettorali tenute presso il Comune.
• Garante 23 maggio 2000, in Bollettino n. 13, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40229)

DIRITTO DI ACCESSO > REGISTRI, ELENCHI, ATTI O DOCUMENTI CONOSCIBILI DA CHIUNQUE 217
LISTE ELETTORALI
Il diritto di accesso alle liste elettorali di sezione utilizzate presso i seggi elettorali, nelle
quali sono contenuti dati idonei a rivelare anche l’effettiva partecipazione dei cittadini alle vota-
zioni, è esercitabile da ogni elettore, ivi compresi i titolari di cariche elettive, esclusivamente
entro il termine di 15 giorni dal deposito nella cancelleria, al solo fine del controllo sulla regola-
rità delle operazioni elettorali (cfr. art. 62 del d.P.R. n. 570/1960). Resta ferma, invece, ai sensi
dell’art. 51 del d.P.R. n. 223/1967, la libera consultabilità da parte di chiunque, con possibilità di
copia, di stampa e di messa in vendita, delle liste elettorali generali, nelle quali sono riportati i
dati dei cittadini iscritti nel Comune aventi diritto al voto.
• Garante 4 aprile 2001, in Bollettino n. 19, pag. 5 (v. anche www.garanteprivacy.it: doc. n. 42070)

Pubblicazioni di matrimonio

Le pubblicazioni di matrimonio di cui agli artt. 93 e ss. del codice civile, consistendo uni-
camente in affissioni all’albo pretorio dei comuni di residenza dei nubendi, sono pubbliche e,
come tali, possono essere visionate da chiunque e riferite sugli organi di stampa, ma non pos-
sono essere comunicate o diffuse da parte dell’ufficiale di stato civile al di fuori dei modi espres-
samente previsti dalla normativa in materia. A fortiori, tale divieto di comunicazione e diffusione
vale per le richieste di pubblicazione che, non solo possono non sfociare nella pubblicazione
(art. 98 c.c.), ma sono annotate nell’apposito registro per il quale valgono, in via generale, le
norme stabilite dal codice civile e dal r.d. n. 1238/1939 per i registri di cittadinanza, di nascita, di
matrimonio e di morte, che non prevedono una loro libera consultabilità da parte dei privati. È
irrilevante, in ogni caso, qualsiasi consenso fornito dagli interessati alla diffusione di tali elen-
chi, vertendosi in tema di trattamento di dati operato da soggetti pubblici.
• Garante 29 maggio 1998, in Bollettino n. 4, pag. 65 (v. anche www.garanteprivacy.it: doc. n. 41055)

La diffusione, da parte degli uffici comunali, dei dati mediante affissione all’albo pretorio
delle pubblicazioni matrimoniali è lecita anche dopo l’entrata in vigore della legge n. 675/1996,
in quanto l’art. 93 c.c., che fissa un obbligo in tal senso a carico dell’ufficiale di stato civile, rap-
presenta una delle disposizioni che, ai sensi dell’art. 27, comma 3 della legge, rende legittima la
pubblicazione diretta a rendere nota la volontà dei nubendi di contrarre matrimonio e a consen-
tire agli interessati di manifestare eventuali opposizioni. Dette pubblicazioni, comunque, visio-
nabili da chiunque e, eventualmente, anche riferibili da parte degli organi di stampa, non pos-
sono essere comunicate o diffuse da parte dell’ufficiale di stato civile al di fuori dei modi previ-
sti dalla normativa in materia.
• Garante 17 febbraio 2000, in Bollettino n. 11/12, pag. 20 (v. anche www.garanteprivacy.it: doc. n. 38969)

Registro generale dei trattamenti


Attraverso la consultazione del “Registro generale dei trattamenti” di cui all’art. 31, comma 1,

218 Massimario 1997/2001 • Diritti dell’interessato


lett. a) della legge n. 675/1996, istituito dal Garante, l’interessato può apprendere l’esistenza di
trattamenti che possono riguardarlo, anche al fine dell’esercizio dei diritti menzionati all’art. 13
della legge nei confronti del “titolare” del trattamento.
• Garante 16 giugno 1999, in Bollettino n. 9, pag. 32 (v. anche www.garanteprivacy.it: doc. n. 40895)

Casi particolari
Anagrafe delle prestazioni dei dipendenti pubblici

L’anagrafe delle prestazioni dei dipendenti pubblici deve essere considerato archivio dete-
nuto da soggetto pubblico. Ai dati personali in essa contenuti si applicano quindi le disposizioni
dell’art. 27 della legge n. 675/1996; essi possono essere pertanto oggetto sia di accesso ai docu-
menti amministrativi in base alla legge n. 241/1990, sia di comunicazione ad altre amministra-
zioni pubbliche per lo svolgimento di funzioni istituzionali, sia di comunicazione a soggetti pri-
vati, ove previsto da precise norme di legge o di regolamento. In difetto di specifiche disposizioni
che lo consentano (cfr. art. 24, comma 1 della legge n. 412/1991), deve invece essere esclusa la
possibilità di un accesso indiscriminato da parte di chiunque.
• Garante 23 ottobre 1997, in Bollettino n. 2, pag. 28 (v. anche www.garanteprivacy.it: doc. n. 40117)

Anagrafe e stato civile

Ai sensi del combinato disposto dell’art. 27 della legge n. 675/1996 e dell’art. 34 del
d.P.R. n. 223/1989, l’ufficiale dell’anagrafe può rilasciare – anche periodicamente – elenchi di
iscritti all’anagrafe della popolazione residente solo alle amministrazioni pubbliche, che ne fac-
ciano motivata richiesta per esclusivo uso di pubblica utilità (art. 34, comma 1); al contrario, tali
elenchi non possono essere rilasciati in favore di privati, ai quali i dati anagrafici possono
essere comunicati in forma anonima ed aggregata, qualora ne sia fatta richiesta per fini stati-
stici e di ricerca e il Comune disponga di idonee apparecchiature (art. 34, comma 2).
• Garante 10 giugno 1998, in Bollettino n. 4, pag. 72 (v. anche www.garanteprivacy.it: doc. n. 42200)

Secondo la normativa sugli atti anagrafici, l’ufficiale di anagrafe deve rilasciare, a chiun-
que ne faccia richiesta, fatte salve le limitazioni di legge, soltanto i “certificati concernenti la
residenza e lo stato di famiglia” degli iscritti (art. 33 del d.P.R. n. 223/1989), e può comunicare
i dati, in forma aggregata ed anonima, agli interessati che ne facciano richiesta per fini stati-
stici e di ricerca; può, infine, rilasciare elenchi degli iscritti alle amministrazioni pubbliche che
ne facciano motivata richiesta, per esclusivo uso di pubblica utilità (art. 34, commi 1 e 2 del
d.P.R. n. 223/1989). Considerato che, ai sensi dell’art. 27, comma 3 della legge n. 675/1996, i
soggetti pubblici possono comunicare dati personali a privati solo quando tale operazione è

DIRITTO DI ACCESSO > CASI PARTICOLARI 219


ANAGRAFE DELLE PRESTAZIONI DEI DIPENDENTI PUBBLICI
prevista da puntuali norme di legge o di regolamento, risulta legittimo il diniego opposto da
un Comune alla richiesta di un partito politico di ottenere l’elenco dei “capi famiglia” residenti
nel territorio comunale, corredato dei relativi indirizzi.
• Garante 3 settembre 1998, in Bollettino n. 6, pag. 137 (v. anche www.garanteprivacy.it: doc. n. 41730)

Gli schedari istituiti a norma dell’art. 67 del d.P.R. n. 200/1967 (c.d. “anagrafe conso-
lare”) debbono ritenersi pubblici in quanto contenenti notizie che, essendo acquisite dai sin-
goli uffici consolari per il tramite delle dichiarazioni rese dai cittadini che trasferiscono la resi-
denza all’estero, vanno considerate anch’esse pubbliche alla stregua di quanto previsto dal-
l’art. 1, comma 12 della legge n. 470/1988. Inoltre, poiché tali schedari costituiscono, ai sensi
dell’art. 1 del d.P.R. n. 323/1989, parti delle anagrafi della popolazione di cui alla legge n. 1228/1954,
si deve ritenere che i dati anagrafici in essi contenuti siano conoscibili, oltre che dietro apposita
richiesta di certificazione avanzata ex art. 67, comma 2 del d.P.R. n. 200/1967, anche in base agli artt.
33 e 34 del d.P.R. n. 223/1989.
• Garante 18 maggio 1999, in Bollettino n. 8, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 39636)

Fatta salva la particolare disciplina in materia di accesso ai documenti amministrativi posta


dalla legge n. 241/1990, la cui perdurante applicabilità non è pregiudicata dalle disposizioni con-
tenute nella legge n. 675/1996 e nel d.lg. n. 135/1999, non è possibile comunicare o diffondere
a privati i dati personali provenienti dagli archivi anagrafici al di fuori delle ipotesi specificamente
previste dalla normativa di settore (v. artt. 32 e 34, commi 1 e 2, del d.P.R. n. 223/1989).
• Garante 23 maggio 2000, in Bollettino n. 13, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40229)

La legge n. 675/1996, recante norme in materia di protezione dei dati personali, non ha
modificato direttamente la normativa relativa ai registri dello stato civile e alla disciplina degli
atti anagrafici, ne ha introdotto ulteriori divieti di rendere conoscibili le informazioni in que-
stione, ma ha previsto che le amministrazioni e gli enti pubblici, in un quadro di maggiore tra-
sparenza, possono diffondere i dati personali da essi detenuti quando ciò sia previsto da norme
di legge o di regolamento rispettando, peraltro, il limite e le modalità previste dalla specifica
disciplina di settore (art. 27, comma 3).
• Garante 23 maggio 2000, in Bollettino n. 13, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40229)

Non risultano compatibili con la disciplina anagrafica vigente e, conseguentemente, con i


principi posti dall’art. 27 della legge n. 675/1996, sia la libera consultazione diretta delle ana-
grafi (attraverso, ad esempio, l’interrogazione individuale o di massa di qualsiasi dato contenuto
negli archivi), sia una loro indifferenziata interconnessione con le banche dati del soggetto che
richiede le informazioni.
• Garante 26 maggio 2000, in Bollettino n. 13, pag. 15 (v. anche www.garanteprivacy.it: doc. n. 39300)

220 Massimario 1997/2001 • Diritti dell’interessato


Gli archivi anagrafici non permettono un prelevamento diretto dei dati, fuori dai casi
espressamente consentiti; inoltre, i dati anagrafici, a parte le certificazioni rilasciabili a chiunque
ne faccia richiesta, possono essere comunicati all’esterno solo a pubbliche amministrazioni e per
“esclusivo uso di pubblica utilità” (art. 34, comma 1, del d.P.R. n. 223/1989).
• Garante 20 giugno 2000, in Bollettino n. 13, pag. 11 (v. anche www.garanteprivacy.it: doc. n. 40441)

Centrali rischi private

Nei confronti delle c.d. “centrali rischi” private, che offrono un servizio d’informazione indi-
rizzato principalmente verso gruppi bancari o creditizi, è consentito agli interessati di esercitare
i diritti contemplati dall’art. 13 della legge n. 675/1996.
• Garante 12 ottobre 1998, in Bollettino n. 6, pag. 115 (v. anche www.garanteprivacy.it: doc. n. 42256)

I dati personali dell’interessato detenuti da una c.d. “centrale rischi“ privata attestanti
omissioni o ritardi nei pagamenti, ove si rivelino errati o inesatti, possono essere oggetto dell’i-
stanza formulata al titolare ai sensi dell’art. 13 della legge n. 675/1996 e del successivo ricorso
di cui all’art. 29 della legge al fine della loro cancellazione, aggiornamento o rettifica.
• Garante 28 novembre 2001, in Bollettino n. 23, pag. 60 (v. anche www.garanteprivacy.it: doc. n. 39793)

Nell’ipotesi di estinzione di un contratto di finanziamento, con conseguente totale soddi-


sfacimento dei diritti del creditore, la conservazione, da parte di una “centrale rischi” privata, dei
dati personali del debitore e, eventualmente, del fideiussore, ove protrattasi per un quinquennio
dalla data di estinzione del rapporto, deve essere ritenuta – anche ove assistita da originario con-
senso dell’interessato – sproporzionata ed eccedente rispetto alla finalità perseguita all’atto del
trattamento. Di conseguenza, deve trovare accoglimento l’istanza di cancellazione dei dati avan-
zata dall’interessato.
• Garante 27 dicembre 2001, in Bollettino n. 23, pag. 77 (v. anche www.garanteprivacy.it: doc. n. 39696)

L’art. 13 della legge n. 675/1996 riconosce all’interessato il diritto di ottenere solamente la


cancellazione dei dati trattati in violazione di legge. È quindi infondato, e deve essere conse-
guentemente respinto, il ricorso proposto ai sensi dell’art. 29 per ottenere la cancellazione dei
dati relativi ai ritardi verificatisi nei pagamenti delle rate di un finanziamento, ove risulti che l’in-
teressato abbia manifestato il consenso al loro trattamento anche in relazione al trasferimento –
e successivo trattamento – presso le banche dati di “centrali rischi” private, e i dati stessi risul-
tino corrispondenti a verità.
• Garante 27 dicembre 2001, in Bollettino n. 23, pag. 80 (v. anche www.garanteprivacy.it: doc. n. 39480)

DIRITTO DI ACCESSO > CASI PARTICOLARI 221


CENTRALI RISCHI PRIVATE
Certificato di assistenza al parto

La materia delle adozioni è regolata da specifiche disposizioni normative, non modifi-


cate dalla legge n. 675/1996 (art. 42, comma 2), che non consentono il rilascio dell’unico cer-
tificato comprovante la maternità, ossia il certificato di assistenza al parto (art. 2 della
legge n. 127/1997, come modificata dalla legge n. 191/1998).
• Garante 11 agosto 1999, in Bollettino n. 9, pag. 59 (v. anche www.garanteprivacy.it: doc. n. 41898)

Concorsi pubblici

L’accesso ai documenti amministrativi, riconosciuto a chiunque vi abbia un interesse per-


sonale e concreto per la tutela di situazioni giuridicamente rilevanti (legge n. 241/1990; d.P.R.
n. 352/1992), non è pregiudicato dall’entrata in vigore della legge n. 675/1996, che ha fatto
salve, in quanto compatibili, le norme vigenti in materia. Pertanto, deve ritenersi che possa
essere esercitato, nei casi e nei limiti previsti dalla legge n. 241/1990 e dalle relative norme di
settore (v. d.P.R. n. 487/1994), l’accesso ai documenti inerenti allo svolgimento di un concorso
pubblico da parte di alcuni candidati che abbiano richiesto di accedere agli elaborati redatti da
altri candidati e ad ulteriori atti relativi alla procedura. Resta, peraltro, ferma l’esigenza che le
informazioni così acquisite siano utilizzate esclusivamente per la tutela delle situazioni giuridi-
camente rilevanti che hanno giustificato l’accesso.
• Garante 3 settembre 1998, in Bollettino n. 6, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 39368)

Consiglieri comunali e provinciali

Il diritto previsto dall’art. 31, comma 5 della legge 8 giugno 1942, n. 142, in quanto corre-
lato alla funzione di rappresentanza connessa al mandato elettorale, consente ai consiglieri
comunali e provinciali di ottenere dagli uffici, rispettivamente, del Comune e della Provincia, non-
ché dalle loro aziende ed enti dipendenti, tutte le notizie e le informazioni utili per l’espleta-
mento dell’incarico assunto; tale norma, pertanto, ha una ratio diversa da quella dell’art. 7 della
stessa legge, che concerne il diritto di accesso ai documenti amministrativi detenuti dagli enti
locali, genericamente riconosciuto in favore di tutti i cittadini, singoli e associati, nonché da
quella posta a base dell’art. 22 della legge n. 241/1990 che, ai fini della trasparenza dell’azione
amministrativa, consente a chiunque sia portatore di un interesse per la tutela di situazioni giu-
ridicamente rilevanti di accedere ai documenti amministrativi detenuti da amministrazioni
diverse dai comuni e dalle province.
• Garante 20 maggio 1998, in Bollettino n. 4, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 40979)

La legge n. 675/1996 non ha modificato l’art. 31 della legge n. 142/1990 – che consente
ai consiglieri comunali e provinciali di ottenere dagli uffici, rispettivamente, del Comune e

222 Massimario 1997/2001 • Diritti dell’interessato


della provincia, nonché dalle loro aziende ed enti dipendenti, tutte le notizie e le informazioni
utili per l’espletamento del mandato elettorale – in quanto, tale norma, non solo enuncia un
principio di trasparenza compatibile con la nuova disciplina in materia di protezione dei dati
personali (art. 43, comma 2 della legge n. 675/1996), ma rappresenta una delle disposizioni
che, secondo l’art. 27 della legge n. 675/1996, permettono di trattare dati e informazioni per
il perseguimento di finalità istituzionali.
• Garante 20 maggio 1998, in Bollettino n. 4, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 40979)

Il diritto previsto dall’art. 31, comma 5 della legge n. 142/1942, consente ai consiglieri
comunali di ottenere dagli uffici del Comune, nonché dalle loro aziende ed enti dipendenti, tutte
le notizie e le informazioni utili per l’espletamento del mandato elettorale; ne consegue che
l’Azienda municipale ambiente (A.M.A.), in quanto ente strumentale del comune per la gestione
di servizi pubblici (art. 23, comma 6 della legge n. 142/1990), ove espressamente richiesta da
un consigliere comunale nell’esercizio dell’incarico elettorale assunto, ai sensi dell’art. 20,
comma 1, lett. c) della legge n. 675/1996 è obbligata a comunicare i nominativi dei dipendenti
preposti alle proprie sedi territoriali, senza dover previamente acquisire il consenso dei singoli
interessati.
• Garante 29 maggio 1998, in Bollettino n. 4, pag. 9 (v. anche www.garanteprivacy.it: doc. n. 42144)

Le aziende speciali esercenti servizi pubblici, quali enti strumentali del comune per la
gestione dei servizi dell’ente locale (art. 23, comma 6 della legge n. 142/1990), essendo assog-
gettate, in quanto enti pubblici economici, al regime che la legge n. 675/1996 prevede per i sog-
getti privati che trattano dati personali, sono tenute all’osservanza, fra l’altro, della disposizione
dell’art. 20, comma 1, lett. c), che esime tali soggetti dall’obbligo di richiedere il consenso dell’in-
teressato nel caso in cui il trattamento sia effettuato per adempiere ad una disposizione conte-
nuta in una legge, in una norma comunitaria o in un regolamento. Si configura, quindi, come
obbligo di tali aziende quello di comunicare ai consiglieri comunali i dati che questi richiedano, al
fine dell’espletamento del loro mandato, nell’esercizio del generale diritto di accesso, loro confe-
rito dall’art. 31, comma 5 della legge n. 142/1990, ai dati contenuti negli archivi del comune e delle
aziende ed enti da questo dipendenti (fattispecie relativa alla richiesta di un consigliere comunale
di conoscere i nominativi dei dipendenti dell’azienda preposti alle sedi territoriali della stessa).
• Garante 10 giugno 1998, in Bollettino n. 5, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 39348)

Il regime di pubblicità della situazione patrimoniale relativa al personale dirigenziale delle


amministrazioni pubbliche – come stabilito dal combinato degli artt. 17, comma 22 della legge
n. 127/1997 e 12 della legge n. 441/1992 – non fa sorgere l’obbligo di pubblicare i dati patrimo-
niali relativi a tali soggetti, né il diritto di conoscere il contenuto dei loro cedolini dello stipendio,
nei quali possono essere contenute informazioni di vario genere (multe disciplinari, pignora-
menti, cessioni di stipendio, ecc.), alcune delle quali aventi anche natura “sensibile” (sussidi di
cura, iscrizione sindacale, ecc.). Ne consegue che il diritto attribuito al consigliere comunale dal-

DIRITTO DI ACCESSO > CASI PARTICOLARI 223


CONSIGLIERI COMUNALI E PROVINCIALI
l’art. 31, comma 5 della legge n. 142/1990 di accedere ai documenti formati dalla pubblica ammi-
nistrazione di appartenenza e a qualsiasi notizia od informazione utili ai fini dell’esercizio delle
funzioni consiliari può, con riferimento alla materia in esame, essere altrimenti soddisfatto attra-
verso la pubblicità della situazione patrimoniale dei dirigenti (v. leggi n. 142/1990 e n. 127/1997
citate), l’esame dei contratti collettivi e l’accesso alle deliberazioni e alle determinazioni, con-
cernenti indennità e altri emolumenti corrisposti, adottate dall’Amministrazione a favore dei
dipendenti.
• Garante 8 giugno 1999, in Bollettino n. 9, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 40369)

Premesso che la normativa in materia di protezione dei dati personali posta dalla legge
n. 675/1996 non ha abrogato ma, anzi, ha confermato (art. 43, comma 2) le disposizioni conte-
nute nella legge n. 135/1990 in materia di A.I.D.S., va rilevato che il d.lg. 135/1999 sul tratta-
mento di dati sensibili effettuato da soggetti pubblici considera di rilevante interesse pubblico il
trattamento dei dati strettamente necessario allo svolgimento delle funzioni di controllo, di indi-
rizzo politico e di sindacato ispettivo atte a consentire l’espletamento di un mandato elettivo,
quale quello dei consiglieri comunali. Peraltro, il diritto di accesso ai dati da parte dei predetti
incontra un limite nel rispetto dei principi di pertinenza, essenzialità e compatibilità con la fun-
zione perseguita, ribaditi, anche in materia di dati sensibili, dagli artt. 1 - 5 del citato d.lg..
• Garante 8 febbraio 2001, in Bollettino n. 17, pag. 5 (v. anche www.garanteprivacy.it: doc. n. 49240)

Giornalisti ed editori
• V.: PRIVATI ED ENTI PUBBLICI ECONOMICI > SETTORI DI ATTIVITÀ > ATTIVITÀ GIORNALISTICA > CASI
PARTICOLARI > SEGRETO PROFESSIONALE DEL GIORNALISTA (P. 91)

Interviste e dichiarazioni alla stampa

La legge n. 675/1996, che considera “dato personale” qualunque informazione che con-
senta l’identificazione del soggetto interessato, anche se derivante da suoni o immagini (es.: regi-
strazioni sonore, filmati, ecc.), riguarda tutte le operazioni di trattamento dei dati, a prescindere
dal fatto che le informazioni trattate siano contenute in una banca dati o in un archivio. Anche
un’intervista o un colloquio, quindi, come qualsiasi altra dichiarazione, opinione, o manifesta-
zione del pensiero proveniente dall’interessato (uno scritto, un saggio, un articolo, ecc.), costitui-
scono informazioni che riguardano la sua persona e come tali “dati personali”, essendo del tutto
irrilevante la forma in cui sono trattate o gli eventuali supporti che le contengono. Ne consegue
che l’interessato ha pieno diritto di ottenere dall’editore di un quotidiano e dal giornalista autore
dell’articolo la comunicazione, in una forma chiaramente intelligibile (es.: attraverso riproduzione
su supporto sonoro o cartaceo), della registrazione di una propria intervista rilasciata al giornale
e poi divenuta oggetto dell’articolo.
• Garante 26 novembre 1998, in Bollettino n. 6, pag. 32 (v. anche www.garanteprivacy.it: doc. n. 40029)

224 Massimario 1997/2001 • Diritti dell’interessato


Istituti di patronato ed assistenza sociale

Né la normativa in materia di igiene e sicurezza sul lavoro (d.lg. n. 626/1994), né il testo


unico recante disposizioni in materia di assicurazione obbligatoria contro gli infortuni sul lavoro
(d.P.R. n. 1124/1965 e successive modificazioni ed integrazioni) prevedono che gli istituti di
patronato ed assistenza sociale, che hanno personalità giuridica di diritto privato (art. 1 della
legge n. 112/1980), possano accedere, anche mediante presa visione, alla globalità degli elenchi
delle denunce di infortunio sul lavoro detenuti dalle autorità locali di pubblica sicurezza. Detti
istituti possono, quindi, conoscere esclusivamente i dati riguardanti gli assistiti dai quali
abbiano ricevuto esplicito mandato in tal senso.
• Garante 27 ottobre 1999, in Bollettino n. 10, pag. 76 (v. anche www.garanteprivacy.it: doc. n. 39584)

Lavoro e previdenza
• V.: SOGGETTI PUBBLICI > SETTORI DI ATTIVITÀ > LAVORO E PREVIDENZA (P. 128)

Operazioni di finanziamento

Ai sensi dell’art. 13 della legge n. 675/1996, l’interessato ha il diritto di chiedere diretta-


mente alle società finanziarie e agli istituti di credito quali informazioni che lo riguardano
siano state raccolte in relazione al trattamento dei dati connesso a richieste o concessioni di
finanziamenti. Nel caso di mancata risposta nel termine di cinque giorni (v. art. 29, comma 2
della legge n. 675/1996), o di rifiuto all’accesso o all’esercizio di uno degli altri diritti elencati
nel citato art. 13, l’interessato può ricorrere alla magistratura ordinaria o, alternativamente, al
Garante, con le modalità previste dall’art. 29 della legge.
• Garante 10 giugno 1998, in Bollettino n. 5, pag. 18 (v. anche www.garanteprivacy.it: doc. n. 40955)

Ai sensi della legge n. 675/1996, costituiscono dati personali del soggetto che chiede un
finanziamento le valutazioni sulla sua affidabilità economica che una società finanziaria pone a
base della decisione di rigetto della domanda. Tali motivazioni, quindi, possono essere oggetto
dell’istanza di accesso prevista dall’art. 13 della legge e del successivo ricorso al Garante pro-
posto ai sensi dell’art. 29.
• Garante 25 ottobre 2001, in Bollettino n. 23, pag. 91 (v. anche www.garanteprivacy.it: doc. n. 40305)

Perizie medico legali


• V. : CATEGORIE E REQUISITI DEI DATI PERSONALI > DATO PERSONALE > NOZIONE > PERIZIE MEDICO
LEGALI (P.7)

DIRITTO DI ACCESSO > CASI PARTICOLARI 225


ISTITUTI DI PATRONATO ED ASSISTENZA SOCIALE
Pubblicità telefonica
• V.: TELECOMUNICAZIONI E RETI TELEMATICHE > CASI PARTICOLARI > PUBBLICITÀ TELEFONICA (P. 192)

R.a.i.

Le attività di trattamento effettuate dalla R.a.i. in qualità di responsabile del Ministero delle
finanze, ai fini della gestione degli abbonamenti al servizio radiotelevisivo, non possono rien-
trare nei casi, indicati dall’art. 14 della legge n. 675/1996, di esclusione dall’esercizio dei diritti
attribuiti dall’art. 13 della stessa legge. Sulla società concessionaria e sull’amministrazione
finanziaria incombe quindi l’obbligo di fornire riscontro senza ritardo alle richieste avanzate
dagli interessati in base al citato art. 13.
• Garante 12 luglio 2000, in Bollettino n. 13, pag. 38 (v. anche www.garanteprivacy.it: doc. n. 30923)

Utenze e traffico telefonico


• V.: TELECOMUNICAZIONI E RETI TELEMATICHE > CASI PARTICOLARI > UTENZE E TRAFFICO TELEFONICO (P. 194)

Blocco del trattamento


È improponibile l’istanza al Garante volta ad ottenere la caducazione o la disapplicazione
di una clausola contrattuale relativa all’acquisizione, da parte di una società assicuratrice, delle
cartelle cliniche inerenti ai sinistri denunziati; infatti, ove adìto, il Garante, ricorrendone i pre-
supposti, ha soltanto il potere di disporre il blocco o il divieto di trattare i dati, ma non anche di
incidere direttamente sul rapporto contrattuale e sugli obblighi reciprocamente assunti dalle
parti, la cui invalidità o esigenza di riformulazione può essere fatta valere soltanto attraverso gli
appositi strumenti civilistici.
• Garante 12 aprile 1999, in Bollettino n. 8, pag. 42 (v. anche www.garanteprivacy.it: doc. n. 39921)

Nell’avviare l’autonomo procedimento previsto dall’art. 31 della legge n. 675/1996 al fine


dell’accertamento di eventuali violazioni della normativa in materia di privacy, il Garante, ricor-
rendo le condizioni indicate al comma 1, lett. l) di detto articolo, può disporre il temporaneo
blocco del trattamento effettuato dal titolare o dal responsabile (fattispecie relativa alla sospen-
sione ordinata dall’Autorità della diffusione da parte di una A.S.L. di dati sensibili relativi ad un
dirigente medico della stessa azienda).
• Garante 9 giugno 1999, in Bollettino n. 9, pag. 42 (v. anche www.garanteprivacy.it: doc. n. 40995)

226 Massimario 1997/2001 • Diritti dell’interessato


Dalla pronunzia del provvedimento di blocco deriva l’obbligo, per il titolare o per il respon-
sabile, di sospendere ogni ulteriore operazione di trattamento diversa dalla mera conservazione
delle informazioni già raccolte e, in particolare, di astenersi dal diffondere ulteriormente i dati
anche in modo indiretto; pertanto, ove il blocco sia stato adottato a seguito dell’avvenuta divul-
gazione di alcune informazioni a mezzo di un articolo giornalistico pubblicato su di un quoti-
diano, l’obbligo di astensione dall’ulteriore diffusione dei dati può comportare anche il divieto,
per il quotidiano e la società editrice, di pubblicare il testo del provvedimento cautelare adottato
dal Garante.
• Garante 16 febbraio 2000, in Bollettino n. 11/12, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 42280)

Cancellazione, aggiornamento, rettifica


o integrazione dei dati
Il titolare o il responsabile del trattamento dei dati personali devono comunicare, all’inte-
ressato che ne faccia richiesta, non solo le categorie e i tipi di dati detenuti che lo riguardino, ma
i singoli dati, mettendo in chiaro tutte le informazioni di carattere personale oggetto di tratta-
mento, al fine di consentire all’interessato di valutare le informazioni presenti negli archivi ed
eventualmente esercitare la facoltà di aggiornare, correggere o integrare i dati che si rivelassero
inesatti o incompleti (art. 13, comma 1, lett. c) della legge n. 675/1996).
• Garante 3 settembre 1998, in Bollettino n. 6, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 38901)

La cancellazione o la trasformazione in forma anonima dei dati personali sono dovute


solo nel caso in cui i dati siano trattati in violazione di legge (art. 13, comma 1, lett. c), n. 2,
della legge n. 675/1996).
• Garante 12 ottobre 1998, in Bollettino n. 6, pag. 115 (v. anche www.garanteprivacy.it: doc. n. 42256)

In caso di esercizio da parte dell’interessato del diritto di accesso ai dati personali ai sensi
dell’art. 13 della legge n. 675/1996, il titolare o il responsabile del trattamento debbono comu-
nicare non solo le categorie e i tipi di dati, ma i singoli dati detenuti, specificando tutte le infor-
mazioni oggetto di trattamento, al fine di consentire all’interessato di valutarle ed eventual-
mente esercitare la facoltà di aggiornare, integrare o correggere i dati che si rivelassero inesatti
o incompleti.
• Garante 19 dicembre 1998, in Bollettino n. 6, pag. 37 (v. anche www.garanteprivacy.it: doc. n. 39969)

CANCELLAZIONE, AGGIORNAMENTO, RETTIFICA O INTEGRAZIONE DEI DATI 227


I manifesti murali destinati alla pubblica affissione rientrano nella definizione di “stampa”
o di “stampato” che, ai sensi dell’art. 1 della legge n. 47/1948, riguarda “tutte le riproduzioni
tipografiche o comunque ottenute con mezzi meccanici o fisico/chimici in qualsiasi modo desti-
nate alla pubblicazione”. In questo ambito, il tipografo tratta i dati personali riportati sui mani-
festi in una veste (e funzione) meramente strumentale rispetto all’autore della pubblicazione,
unico soggetto realmente legittimato ad intervenire sul contenuto di essa, ad assumere decisioni
sull’esattezza e sulla completezza dei dati in essa riportati, nonché a rendere noti tali elementi
a coloro ai quali i dati siano stati diffusi. Ne consegue che è soltanto nei confronti dell’autore
della pubblicazione, quale effettivo titolare del trattamento, che può essere rivolta la richiesta
diretta a rettificare i dati o a prevenirne l’ulteriore diffusione.
• Garante 29 marzo 1999, in Bollettino n. 8, pag. 46 (v. anche www.garanteprivacy.it: doc. n. 30879)

Il diritto all’identità personale, tutelato dall’art. 1 della legge n. 675/1996, può essere leso
dall’avvenuta pubblicazione su un quotidiano di vari articoli di stampa che, attraverso un erro-
neo riferimento alla persona del ricorrente ed al suo stato coniugale, ovvero mediante un’ine-
satta utilizzazione del suo cognome, gli abbiano attribuito comportamenti posti in essere da
altri, con conseguente distorsione della sua immagine. In tal caso, ai sensi dell’art. 29, comma 4
della legge, non solo dev’essere fatto ordine, sia all’editore che al direttore del quotidiano, di
cessare il trattamento illegittimo, ma, ai fini di un’effettiva tutela dei diritti dell’interessato,
dev’essere ordinata la rettifica dei dati personali trattati, con attestazione, in favore del predetto,
della circostanza che tale rettifica è stata portata a conoscenza di coloro ai quali erano stati ori-
ginariamente diffusi i detti dati, attraverso la pubblicazione, sul medesimo quotidiano, di un
apposito comunicato in tal senso.
• Garante 19 aprile 1999, in Bollettino n. 8, pag. 31 (v. anche www.garanteprivacy.it: doc. n. 39033)

Il registro di battesimo che riporta i dati di una persona che si professa atea non contiene
dati trattati illecitamente, né notizie inesatte o incomplete, in quanto documenta correttamente
un evento – il battesimo – realmente avvenuto. La registrazione del battesimo, inoltre, non costi-
tuisce solo un dato relativo all’aderente, ma rappresenta un aspetto della vita – ed anche un dato
– dell’organismo che lo detiene, il quale non può cancellare la traccia di un avvenimento che sto-
ricamente l’ha riguardato, se non a costo di modificare la stessa rappresentazione della propria
realtà. Ne consegue che è infondata, e non può pertanto essere accolta, la richiesta dell’interes-
sato, contenuta nel ricorso proposto al Garante ai sensi dell’art. 29 della legge n. 675/1996, di
vedere cancellati il proprio nominativo e la data del battesimo ricevuto dai registri parrocchiali
dei battezzati.
• Garante 13 settembre 1999, in Bollettino n. 9, pag. 54 (v. anche www.garanteprivacy.it: doc. n. 30887)

La persona che si professa atea può ottenere, anche attraverso il ricorso al Garante, di ren-
dere palese tale sua convinzione attraverso la rettificazione o aggiornamento dei dati personali

228 Massimario 1997/2001 • Diritti dell’interessato


conservati nei registri parrocchiali dei battezzati, realizzati per mezzo di un’annotazione a mar-
gine del dato da rettificare o con la allegazione all’atto stesso della richiesta di rettifica.
• Garante 13 settembre 1999, in Bollettino n. 9, pag. 54 (v. anche www.garanteprivacy.it: doc. n. 30887)

L’art. 13 della legge n. 675/96 riconosce all’interessato il diritto di ottenere la cancella-


zione solamente dei dati trattati in violazione di legge. È quindi infondato, e deve essere conse-
guentemente respinto, il ricorso proposto dall’interessato ai sensi dell’art. 29 della legge per
ottenere da un istituto di credito la cancellazione dei dati riguardanti la propria situazione patri-
moniale, raccolti in relazione ad una richiesta di finanziamento, qualora tali dati – che, ai sensi
degli artt. 12, comma 1, lett. f ) e 20, comma 1, lett. e), della legge n. 675/1996, in quanto atten-
gono allo svolgimento di attività economiche, possono essere trattati anche senza il consenso
dell’interessato – siano detenuti in attuazione di disposizioni impartite dall’autorità di vigilanza
in tema di rilevazione del rischio creditizio e di obblighi di legge in materia di scritture e docu-
menti contabili che ne delimitano le modalità di utilizzo, imponendone anche la conservazione
solo per periodi di tempo determinati.
• Garante 6 febbraio 2001, in Bollettino n. 17, pag. 28 (v. anche www.garanteprivacy.it: doc. n. 40879)

Ai sensi dell’art. 20, comma 1, lett. c), della legge n. 675/1996, la comunicazione dei dati
relativi all’indebitamento della clientela effettuata dagli intermediari finanziari alla Centrale
rischi della Banca d’Italia, in quanto dovuta per legge, non è sottoposta all’obbligo della pre-
ventiva acquisizione del consenso dei singoli interessati, cui resta preclusa la possibilità di chie-
dere la cancellazione dei dati o di opporsi al relativo trattamento.
• Garante 17 ottobre 2001, in Bollettino n. 23, pag. 29 (v. anche www.garanteprivacy.it: doc. n. 40907)

I dati personali dell’interessato detenuti da una c.d. “centrale rischi“ privata attestanti
omissioni o ritardi nei pagamenti, ove si rivelino errati o inesatti, possono essere oggetto dell’i-
stanza formulata al titolare ai sensi dell’art. 13 della legge n. 675/1996 e del successivo ricorso
di cui all’art. 29 della legge al fine della loro cancellazione, aggiornamento o rettifica.
• Garante 28 novembre 2001, in Bollettino n. 23, pag. 60 (v. anche www.garanteprivacy.it: doc. n. 39793)

Viola i principi di pertinenza e non eccedenza nella diffusione dei dati personali, fissati dal-
l’art. 9 della legge n. 675/1996, l’esposizione nella bacheca condominiale, posta in luogo acces-
sibile anche ad estranei al condominio, dell’ordine del giorno di una assemblea che riporti anche
la situazione debitoria di singoli condomini. Ai sensi degli artt. 13 e 29 della legge, quindi, il con-
domino interessato può agire per ottenere la rimozione dalla bacheca dei dati relativi alla pro-
pria morosità.
• Garante 12 dicembre 2001, in Bollettino n. 23, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 31007)

CANCELLAZIONE, AGGIORNAMENTO, RETTIFICA O INTEGRAZIONE DEI DATI 229


Nell’ipotesi di estinzione di un contratto di finanziamento, con conseguente totale soddi-
sfacimento dei diritti del creditore, la conservazione, da parte di una “centrale rischi” privata, dei
dati personali del debitore e, eventualmente, del fideiussore, ove protrattasi per un quinquennio
dalla data di estinzione del rapporto, deve essere ritenuta – anche ove assistita da originario con-
senso dell’interessato – sproporzionata ed eccedente rispetto alla finalità perseguita all’atto del
trattamento. Di conseguenza, deve trovare accoglimento l’istanza di cancellazione dei dati avan-
zata dall’interessato.
• Garante 27 dicembre 2001, in Bollettino n. 23, pag. 77 (v. anche www.garanteprivacy.it: doc. n. 39696)

L’art. 13 della legge n. 675/1996 riconosce all’interessato il diritto di ottenere solamente la


cancellazione dei dati trattati in violazione di legge. È quindi infondato, e deve essere conse-
guentemente respinto, il ricorso proposto ai sensi dell’art. 29 per ottenere la cancellazione dei
dati relativi ai ritardi verificatisi nei pagamenti delle rate di un finanziamento, ove risulti che l’in-
teressato abbia manifestato il consenso al loro trattamento anche in relazione al trasferimento –
e successivo trattamento – presso le banche dati di “centrali rischi” private, e i dati stessi risul-
tino corrispondenti a verità.
• Garante 27 dicembre 2001, in Bollettino n. 23, pag. 80 (v. anche www.garanteprivacy.it: doc. n. 39480)

Opposizione al trattamento
In caso di violazione del diritto di opposizione, non possono trovare applicazione le san-
zioni previste dagli artt. 34 e ss. della legge n. 675/1996, in quanto non espressamente richia-
mati dall’art. 13 della medesima legge.
• Garante 27 marzo 1998, in Bollettino n. 4, pag. 32 (v. anche www.garanteprivacy.it: doc. n. 42026)

A differenza di quanto stabilito in tema di esercizio del diritto alla cancellazione dei dati
previsto dall’art. 13, comma 1, lett. c), n. 2 della legge n. 675/1996, il diritto di opposizione al trat-
tamento, di cui alla successiva lett.e), può essere esercitato dall’interessato senza che sia neces-
sario addurre alcuna motivazione.
• Garante 27 marzo 1998, in Bollettino n. 4, pag. 32 (v. anche www.garanteprivacy.it: doc. n. 42026)

L’opposizione per motivi legittimi al trattamento dei dati personali operato da un quoti-
diano (art. 13, comma 1, lett. d), della legge n. 675/1996) è infondata quando l’articolo trae
spunto da atti e documenti accessibili al pubblico, di cui sono riportati brevi stralci, e la vicenda
riguarda un fatto che riveste interesse pubblico perché relativa al corretto svolgimento dell’atti-

230 Massimario 1997/2001 • Diritti dell’interessato


vità amministrativa comunale e non risulta descritta con particolari e dettagli non pertinenti o
lesivi della dignità dell’interessato (fattispecie relativa alla pubblicazione della notizia della
segnalazione da parte di consiglieri comunali alla Corte dei Conti di una transazione avvenuta tra
il Comune e l’interessato).
• Garante 22 gennaio 2001, in Bollettino n. 16, pag. 8 (v. anche www.garanteprivacy.it: doc. n. 41738)

L’opposizione al trattamento dei dati personali, anche se si riferisce ad operazioni di trat-


tamento già effettuate, in particolare con l’avvenuta diffusione dei dati mediante pubblicazione
su di un quotidiano, deve essere ugualmente presa in considerazione dal Garante, adito dall’in-
teressato con il ricorso proposto ai sensi dell’art. 29 della legge n. 675/1996, in relazione alla
possibilità di una ulteriore, successiva divulgazione dei dati da parte del quotidiano.
• Garante 22 gennaio 2001, in Bollettino n. 16, pag. 8 (v. anche www.garanteprivacy.it: doc. n. 41738)

Va considerato rispondente alle prescrizioni formali poste dall’art. 29 della legge


n. 675/1996 e dall’art. 18 del d.P.R. n. 501/1998 il ricorso preceduto da una lettera inviata al tito-
lare del trattamento nella quale l’interessato, pur senza citare espressamente l’art. 13, comma 1,
lett. d), della legge n. 675/1996, manifesti chiaramente la volontà di opporsi al trattamento dei
dati personali operato dal titolare.
• Garante 6 febbraio 2001, in Bollettino n. 17, pag. 30 (v. anche www.garanteprivacy.it: doc. n. 40615)

Va dichiarato infondato il ricorso, proposto ai sensi dell’art. 29 della legge n. 675/1996, con
il quale l’interessato eserciti il diritto, attribuito dall’art. 13, comma 1, lett. d) della legge, di
opporsi al trattamento dei dati operato dal titolare, ove l’interessato stesso non specifichi in
maniera chiara né comprovi sufficientemente i motivi legittimi posti a base della sua richiesta.
• Garante 27 febbraio 2001, in Bollettino n. 17, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40485)

Ove l’interessato con il ricorso ex art. 29 della legge n. 675/1996 eserciti il diritto di oppo-
sizione attribuito dal comma 1, lett. d), dell’art. 13 della legge in relazione ad operazioni di trat-
tamento già effettuate dal titolare, in particolare attraverso la già avvenuta diffusione dei dati, la
richiesta deve essere presa in esame dal Garante in considerazione della possibilità di una even-
tuale, successiva divulgazione dei dati da parte del titolare.
• Garante 27 febbraio 2001, in Bollettino n. 17, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40485)

Ai sensi dell’art. 20, comma 1, lett. c), della legge n. 675/1996, la comunicazione dei dati
relativi all’indebitamento della clientela effettuata dagli intermediari finanziari alla Centrale
rischi della Banca d’Italia, in quanto dovuta per legge, non è sottoposta all’obbligo della pre-

OPPOSIZIONE AL TRATTAMENTO 231


ventiva acquisizione del consenso dei singoli interessati, cui resta preclusa la possibilità di chie-
dere la cancellazione dei dati o di opporsi al relativo trattamento.
• Garante 17 ottobre 2001, in Bollettino n. 23, pag. 29 (v. anche www.garanteprivacy.it: doc. n. 40907)

Origine dei dati


Ove con il ricorso proposto ai sensi dell’art. 29 della legge n. 675/1996 l’interessato chieda
di conoscere l’origine dei dati personali che lo riguardano, il titolare del trattamento non può
limitarsi ad evidenziare che le informazioni utilizzate provengono da una banca dati costituita
prima dell’entrata in vigore della legge n. 675/1996, in quanto in tal modo indica all’interessato
solo la fonte più immediata di provenienza dei dati, senza specificare la loro reale provenienza,
come richiesto dall’art. 13, comma 1, lett. c), n. 1 (nella specie, il titolare non ha chiarito in che
modo è stata acquisita o formata la banca dati contenente le informazioni utilizzate per l’invio
all’interessato di materiale pubblicitario non richiesto).
• Garante 29 settembre 1999, in Bollettino n. 10, pag. 31 (v. anche www.garanteprivacy.it: doc. n. 39045)

Va dichiarato non luogo a provvedere sul ricorso formulato ai sensi dell’art. 29 della legge
n. 675/1996 teso a conoscere l’origine dei dati personali in possesso del titolare, ove questi for-
nisca idoneo riscontro, chiarendo, attraverso una dettagliata ricostruzione temporale della
vicenda, accompagnata dall’allegazione di una scheda, le modalità di acquisizione dei dati, a
cui l’interessato, che le contesta, non opponga che generiche ed indimostrate affermazioni con-
trarie.
• Garante 19 dicembre 2001, in Bollettino n. 23, pag. 42 (v. anche www.garanteprivacy.it: doc. n. 41131)

232 Massimario 1997/2001 • Diritti dell’interessato


Limiti all’esercizio dei diritti
Differimento

La valutazione del pregiudizio che, ai sensi dell’art. 14, comma 1, lett. e) della
legge n. 675/1996, consente il differimento dell’esercizio dei diritti previsti dall’art. 13, dev’essere
effettuata caso per caso, con onere probatorio a carico del titolare del trattamento; in ogni caso,
tale differimento può riguardare soltanto i dati valutativi e non quelli aventi carattere oggettivo o,
comunque, non incidenti sulle specifiche ragioni di tutela prospettate dal titolare del trattamento.
• Garante 13 ottobre 1999, in Bollettino n. 11/12, pag. 61 (v. anche www.garanteprivacy.it: doc. n. 42098)

La legge n. 675/1996 bilancia la tutela dei diritti della personalità con altri diritti quale
quello di difesa in quanto, se da un lato pone specifici limiti al diritto d’accesso, dall’altro evita
che l’eccezione basata sul diritto di difesa possa vanificare la tutela dei diritti riconosciuti nel-
l’art. 1 della legge. Pertanto, cessate le esigenze di tutela cui l’art. 14 fa riferimento, il diritto di
accesso può riespandersi, con conseguente obbligo d’integrale comunicazione all’interessato
dei dati richiesti.
• Garante 13 ottobre 1999, in Bollettino n. 11/12, pag. 61 (v. anche www.garanteprivacy.it: doc. n. 42098)

La legge n. 675/1996 bilancia la tutela dei diritti della personalità con altri diritti quale
quello di difesa in quanto, se da un lato pone specifici limiti al diritto d’accesso, dall’altro evita
che l’eccezione basata sul diritto di difesa possa vanificare la tutela dei diritti riconosciuti nel-
l’art. 1 della legge. Pertanto, ove venga accolta l’istanza di differimento di cui all’art. 14, il diritto
di accesso può riespandersi, con conseguente obbligo d’integrale comunicazione all’interessato
dei dati richiesti.
• Garante 30 dicembre 1999, in Bollettino n. 11/12, pag. 66 (v. anche www.garanteprivacy.it: doc. n. 40847)

La norma di cui all’art. 14, comma 1, lett. e) della legge n. 675/1996, che prevede il tempo-
raneo differimento dell’esercizio dei diritti previsti dall’art. 13, è di carattere eccezionale e, anche
se di potenziale ampio spettro applicativo, può essere invocata solo in presenza di comprovate
esigenze difensive del titolare del trattamento. Di conseguenza, la valutazione del pregiudizio
paventato dev’essere effettuata caso per caso, con onere di dimostrazione a carico del titolare
del trattamento; in ogni caso, tale differimento può riguardare soltanto i dati valutativi e non
quelli aventi carattere oggettivo o, comunque, non incidenti sulle specifiche ragioni di tutela pro-
spettate dal titolare del trattamento.
• Garante 30 dicembre 1999, in Bollettino n. 11/12, pag. 66 (v. anche www.garanteprivacy.it: doc. n. 40847)

LIMITI ALL’ESERCIZIO DEI DIRITTI> DIFFERIMENTO 233


La disposizione di cui all’art. 14, comma 1, lett. e) della legge n. 675/1996, che prevede il
temporaneo differimento dell’esercizio dei diritti previsti dall’art. 13, trova applicazione con rife-
rimento a tutti i procedimenti giudiziari, sia civili che penali.
• Garante 30 dicembre 1999, in Bollettino n. 11/12, pag. 66 (v. anche www.garanteprivacy.it: doc. n. 40847)

Il pregiudizio previsto dall’art. 14, comma 1, lett. e), della legge n. 675/1996 per far valere
o difendere un diritto in sede giudiziaria, che comporta il temporaneo differimento dell’esercizio
dei diritti previsti dall’art. 13 della legge, la cui valutazione il Garante deve effettuare caso per
caso, e sulla base di concreti elementi forniti dal titolare del trattamento, è ravvisabile nel caso
di una specifica fase precontenziosa suscettibile di sfociare a breve in una controversia giudizia-
ria (fattispecie relativa alla richiesta di accesso ai dati contenuti in una perizia medico legale
redatta dal consulente della società assicurativa ed alla necessità di non pregiudicare la posi-
zione delle parti in ordine alle deduzioni istruttorie concernenti la data effettiva dell’infortunio e
la preesistenza di una patologia rispetto alla stipula della polizza).
• Garante 28 dicembre 2000, in Bollettino n. 16, pag. 12 (v. anche www.garanteprivacy.it: doc. n. 30963)

Il differimento dell’accesso ai dati previsto dall’art. 14, comma 1, lett. e), della legge
n. 675/1996 attiene solo ai profili di tipo valutativo contenuti nella relazione medico legale
redatta dal consulente della società assicurativa, non anche ai dati di tipo identificativo o aventi
carattere obiettivo o comunque non incidenti sulle specifiche ragioni di tutela prospettate dal
titolare del trattamento.
• Garante 28 dicembre 2000, in Bollettino n. 16, pag. 12 (v. anche www.garanteprivacy.it: doc. n. 30963)
• Garante 22 gennaio 2001, in Bollettino n. 16, pag. 17 (v. anche www.garanteprivacy.it: doc. n. 39961)

L’esercizio del diritto di accesso, come ogni altro diritto tutelato dall’art. 13 della legge
n. 675/1996, può essere temporaneamente differito al fine di non pregiudicare il diritto di difesa
del titolare del trattamento (principio applicato in relazione a fattispecie di accesso ai dati con-
tenuti in una perizia medico legale). Il differimento può concernere solamente i dati di tipo valu-
tativo, non quelli di tipo identificativo od oggettivo; l’indagine sull’esistenza del pregiudizio giu-
stificativo va effettuata da parte del Garante caso per caso, anche sulla base di concreti elementi
forniti dal titolare del trattamento (principio applicato in relazione ad una specifica situazione
precontenziosa ed ai tempi necessari per l’espletamento della perizia contrattuale rimessa al
collegio medico previsto dalle condizioni generali di polizza).
• Garante 17 gennaio 2001, in Bollettino n. 16, pag. 20 (v. anche www.garanteprivacy.it: doc. n. 38925)

Il pregiudizio previsto dall’art. 14, comma 1, lett. e), della legge n. 675/1996 per far valere
o difendere un diritto in sede giudiziaria, che comporta il temporaneo differimento dell’esercizio
dei diritti previsti dall’art. 13 della legge, la cui valutazione il Garante deve effettuare caso per

234 Massimario 1997/2001 • Diritti dell’interessato


caso, sulla base di concreti elementi forniti dal titolare del trattamento, è ravvisabile nel caso in
cui vi sia tra la compagnia di assicurazione e il danneggiato una vertenza giudiziaria in corso per
l’accertamento del danno conseguente ad un incidente stradale e nell’atto di citazione l’interes-
sato abbia chiesto l’espletamento di una consulenza tecnica di ufficio per la determinazione
delle conseguenze dell’infortunio. In tale delicata fase processuale, la comunicazione da parte
della società dei dati contenuti nella perizia arrecherebbe concreto pregiudizio alle modalità di
esibizione delle prove da parte della compagnia assicuratrice, ledendo il suo diritto di difesa.
• Garante 22 gennaio 2001, in Bollettino n. 16, pag. 17 (v. anche www.garanteprivacy.it: doc. n. 39961)

Secondo quanto prescritto dall’art. 14, comma 1, lett. e), della legge n. 675/1996, l’eserci-
zio del diritto di accesso (nella specie, ai dati contenuti in una perizia medico legale), come di
ogni altro diritto tutelato dall’art. 13, può essere temporaneamente differito al fine di non pre-
giudicare il diritto di difesa del titolare del trattamento. Il differimento può concernere solamente
i dati di tipo valutativo, non quelli di tipo identificativo o oggettivo; l’indagine sull’esistenza del
pregiudizio giustificativo va effettuata da parte del Garante caso per caso, anche sulla base di
concreti elementi forniti dal titolare del trattamento (fattispecie relativa alla richiesta di consu-
lenza tecnica di ufficio avanti al giudice di pace).
• Garante 19 febbraio 2001, in Bollettino n. 17, pag. 16 (v. anche www.garanteprivacy.it: doc. n. 40505)

Secondo quanto prescritto dall’art. 14, comma 1, lett. e), della legge n. 675/1996, l’eserci-
zio del diritto di accesso (nella specie, ai dati contenuti in una perizia medico legale), come di
ogni altro diritto tutelato dall’art. 13, può essere temporaneamente differito al fine di non pre-
giudicare il diritto di difesa del titolare del trattamento. Il differimento può concernere i soli dati
di tipo valutativo, non quelli di tipo identificativo o oggettivo; l’indagine sull’esistenza del pre-
giudizio giustificativo va effettuata da parte del Garante caso per caso, anche sulla base di con-
creti elementi forniti dal titolare del trattamento (fattispecie relativa ad una fase precontenziosa
atta a preludere, a causa del contrasto creatosi fra le parti in ordine all’esistenza delle conse-
guenze fisiche derivate dal sinistro, ad un accertamento in sede giudiziaria).
• Garante 19 aprile 2001, in Bollettino n. 19, pag. 15 (v. anche www.garanteprivacy.it: doc. n. 39801)

L’esercizio del diritto di accesso, come ogni altro diritto tutelato dall’art. 13 della legge
n. 675/1996, può essere temporaneamente differito al fine di non pregiudicare il diritto di difesa
del titolare del trattamento (principio applicato in relazione a fattispecie di accesso ai dati con-
tenuti in una perizia medico legale). Il differimento può concernere solamente i dati di tipo valu-
tativo, non quelli di tipo identificativo od oggettivo; l’indagine sull’esistenza del pregiudizio giu-
stificativo va effettuata da parte del Garante caso per caso, anche sulla base di concreti elementi
forniti dal titolare del trattamento, con conseguente sua esclusione laddove quest’ultimo, in via
meramente ipotetica, si limiti ad allegare soltanto l’eventualità di una futura controversia.
• Garante 3 maggio 2001, in Bollettino n. 20, pag. 20 (v. anche www.garanteprivacy.it: doc. n. 39272)
• Garante 3 maggio 2001, in Bollettino n. 20, pag. 28 (v. anche www.garanteprivacy.it: doc. n. 41810)

LIMITI ALL’ESERCIZIO DEI DIRITTI> DIFFERIMENTO 235


L’esercizio del diritto di accesso, come ogni altro diritto tutelato dall’art. 13 della
legge n. 675/1996, può essere temporaneamente differito al fine di non pregiudicare il diritto
di difesa del titolare del trattamento (principio applicato in relazione a fattispecie di accesso
ai dati contenuti in una perizia medico legale). Il differimento può concernere solamente i
dati di tipo valutativo, non quelli di tipo identificativo od oggettivo; l’indagine sull’esistenza
del pregiudizio giustificativo va effettuata da parte del Garante caso per caso, anche sulla
base di concreti elementi forniti dal titolare del trattamento.
• Garante 8 maggio 2001, in Bollettino n. 20, pag. 17 (v. anche www.garanteprivacy.it: doc. n. 39284)

L’esercizio del diritto di accesso, come ogni altro diritto tutelato dall’art. 13 della
legge n. 675/1996, può essere temporaneamente differito al fine di non pregiudicare il diritto di
difesa del titolare del trattamento (principio applicato in relazione a fattispecie di accesso ai dati
contenuti in una perizia medico legale). Il differimento può concernere solamente i dati di tipo
valutativo, non quelli di tipo identificativo od oggettivo; l’indagine sull’esistenza del pregiudizio
giustificativo va effettuata da parte del Garante caso per caso, anche sulla base di concreti ele-
menti forniti dal titolare del trattamento (nella specie, l’imminente deposito di una consulenza
tecnica d’ufficio nel procedimento civile pendente).
• Garante 17 maggio 2001, in Bollettino n. 20, pag. 13 (v. anche www.garanteprivacy.it: doc. n. 42232)

L’indagine sull’esistenza del pregiudizio giustificativo richiesto dall’art. 14, comma 1, lett. e),
della legge n. 675/1996, per il differimento dell’esercizio dei diritti tutelati dall’art. 13 della legge,
va effettuata da parte del Garante caso per caso, sulla base di concreti elementi forniti dal titolare
del trattamento o comunque emergenti dagli atti. Non può essere accolta la richiesta, avanzata dal
titolare del trattamento, di differimento del diritto di accesso da parte dell’interessato ai dati di tipo
valutativo contenuti in una perizia medico legale, ove emerga che tra le parti non è in atto alcun con-
tenzioso, neppure in fase preliminare, e il titolare si limiti ad ipotizzare la possibilità di una futura
controversia, senza prospettare alcuna circostanza o elemento preciso che permettano di ravvisare
un concreto pregiudizio al diritto di difesa.
• Garante 27 dicembre 2001, in Bollettino n. 23, pag. 64 (v. anche www.garanteprivacy.it: doc. n. 42130)

Intermediari e mercati creditizi e finanziari

Rispetto ai trattamenti di dati effettuati da un soggetto pubblico in base ad espressa dis-


posizione di legge, per finalità inerenti al controllo dei mercati e degli intermediari finanziari e
della loro stabilità previsti dall’art. 14, lett. d) della legge n. 675/1996, i diritti di cui all’art. 13
della legge possono essere esercitati solo in maniera indiretta, attraverso verifiche disposte dal
Garante anche su segnalazione dell’interessato.
• Garante 10 febbraio 1998, in Bollettino n. 3, pag. 46 (v. anche www.garanteprivacy.it: doc. n. 40931)

236 Massimario 1997/2001 • Diritti dell’interessato


L’art. 14, comma 1, lett. d) della legge n. 675/1996, concernente i limiti all’esercizio dei
diritti di cui all’art. 13 della legge, può trovare applicazione anche nei confronti dell’I.s.v.a.p.,
allorché la funzione di vigilanza attribuita dalla legge n. 576/1982 sia esercitata dall’Istituto
nei confronti di imprese assicuratrici inequivocabilmente operanti nel settore dell’intermedia-
zione finanziaria. Tale assunto trova fondamento, oltre che nel contenuto della funzione di
vigilanza attribuita dalla legge all’I.s.v.a.p., anche nelle direttive comunitarie n. 91/318/CEE
del 10 giugno 1991 (in materia di riciclaggio di proventi da attività illecite, attuata con
d.l. n. 143/1991) e n. 95/26/CEE del 29 giugno 1995 (in materia creditizia ed assicurativa), non-
ché nel Regolamento CEE n. 3604/1993 del 13 dicembre 1993, che considerano le imprese
d’assicurazione quali enti finanziari.
• Garante 10 febbraio 1998, in Bollettino n. 3, pag. 46 (v. anche www.garanteprivacy.it: doc. n. 40931)

LIMITI ALL’ESERCIZIO DEI DIRITTI> INTERMEDIARI E MERCATI CREDITIZI E FINANZIARI 237


Tutela
amministrativo -
giurisdizionale
e sanzioni

• Ricorso al Garante

• Alternatività della tutela dinanzi al


Garante

• Instaurazione di un autonomo
procedimento

• Segnalazioni e reclami
Ricorso al Garante
Inammissibilità

Dati trattati dal C.e.d. del Dipartimento di pubblica sicurezza

Allo stato della normativa, ai sensi dell’art. 4, comma 1, lett. a), della legge n. 675/1996,
ai trattamenti di dati effettuati dal Centro elaborazione dati del Dipartimento di pubblica
sicurezza si applicano soltanto alcune disposizioni della legge sulla privacy, fra le quali non
sono ricompresi l’art. 13 e l’art. 29; ne consegue che l’interessato, con riferimento a detti trat-
tamenti, ha soltanto la facoltà alternativa di sollecitare – a mezzo di segnalazione o reclamo
– una verifica del Garante sulla rispondenza degli stessi ai requisiti stabiliti dalla legge o dai
regolamenti, ovvero di rivolgersi al Tribunale ai sensi dell’art. 10, comma 5, della legge n.
121/1981 per ottenere l’eventuale rettifica, integrazione e cancellazione dei dati o la loro trasfor-
mazione in forma anonima. Pertanto, l’eventuale ricorso proposto ai sensi dell’art. 29 della legge
n. 675/1996 è inammissibile.

• Garante 14 marzo 2001, in Bollettino n. 18, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 30955)

Diritti non azionabili con l’istanza di accesso ai dati

È inammissibile il ricorso al Garante nella parte contenente la richiesta volta ad ottenere l’or-
dine di pubblicazione, su un quotidiano edito da una testata giornalistica, di una decisione emessa
dal Garante nei confronti della stessa testata, in quanto l’art. 29, comma 4 della legge n. 675/1996
non fa cenno a detta pubblicazione, che è invece prevista dall’art. 38 della legge come pena acces-
soria in caso di condanna penale.
• Garante 18 novembre 1998, in Bollettino n. 6, pag. 94 (v. anche www.garanteprivacy.it: doc. n. 41203)

La richiesta di esplicitazione di una sigla utilizzata da un Consiglio dell’Ordine (nella spe-


cie, un Consiglio provinciale dell’ordine dei consulenti del lavoro) nella tessera di riconosci-
mento degli iscritti o nell’ambito delle comunicazioni postali con i medesimi costituisce una
semplice istanza di chiarificazione di un’informazione sostanzialmente corretta, ma effettuata,
in un determinato documento o contesto, in forma abbreviata. Ne consegue che il ricorso ai
sensi dell’art. 29 della legge n. 675/1996 volto ad ottenere detta chiarificazione è inammissi-
bile, non potendo tale richiesta essere ricondotta nell’ambito dell’esercizio del diritto di
aggiornamento o di rettifica dei dati, espressamente riconosciuto all’interessato dall’art. 13
della legge.
• Garante 11 gennaio 1999, in Bollettino n. 7, pag. 40 (v. anche www.garanteprivacy.it: doc. n. 39833)

RICORSO AL GARANTE > INAMMISSIBILITÀ > 241


DATI TRATTATI DAL C.E.D. DEL DIPARTIMENTO DI PUBBLICA SICUREZZA
La richiesta volta ad ottenere l’elenco di coloro cui il titolare del trattamento abbia comu-
nicato i dati non può essere proposta dall’interessato, non rientrando tra i diritti tassativamente
indicati dall’art. 13 della legge n. 675/1996; tale norma, invece, consente all’interessato di otte-
nere la sola attestazione che le operazioni di cui ai numeri 2) e 3) del comma 1 sono state por-
tate a conoscenza di coloro ai quali i dati siano stati comunicati o diffusi.
• Garante 13 aprile 1999, in Bollettino n. 8, pag. 27 (v. anche www.garanteprivacy.it: doc. n. 40811)

Il procedimento previsto dall’art. 29 della legge n. 675/1996 ha caratteri particolari, in


quanto con il ricorso che lo introduce non si può lamentare qualsiasi violazione della normativa
in tema di dati personali, come può avvenire invece in caso di segnalazioni o reclami rivolti
anch’essi al Garante, ma solo di uno o più diritti riconosciuto dall’art. 13 della legge; in difetto,
il ricorso va dichiarato inammissibile.
• Garante 9 giugno 1999, in Bollettino n. 9, pag. 42 (v. anche www.garanteprivacy.it: doc. n. 40995)
• Garante 9 giugno 1999, in Bollettino n. 9, pag. 45 (v. anche www.garanteprivacy.it: doc. n. 40373)

Con il procedimento previsto dall’art. 29 della legge n. 675/1996 non si può lamentare
qualsiasi violazione delle disposizioni in tema di protezione dei dati personali, essendo il ricorso
azionabile solo per la tutela dei diritti tassativamente indicati dall’art. 13 della legge. Ne conse-
gue che è inammissibile la richiesta diretta ad ottenere, da parte del titolare o del responsabile
del trattamento, una risposta circa la manifestazione del proprio consenso al trattamento dei
dati od alla sottoscrizione del relativo modulo, trattandosi di istanza che non solo non è espres-
samente prevista dall’art. 13 della legge n. 675/1996, ma che non può essere fatta corrispon-
dere, neanche in via interpretativa, ad alcuno dei diritti in esso previsti.
• Garante 25 febbraio 2000, in Bollettino n. 11/12, pag. 31 (v. anche www.garanteprivacy.it: doc. n. 39248)

Il ricorso al Garante previsto dall’art. 29 della legge n. 675/1996 non può essere presen-
tato per qualsiasi violazione delle disposizioni sulla tutela dei dati personali (che può invece
essere oggetto di una segnalazione o di un reclamo all’Autorità), ma solo in relazione ad una pre-
cisa richiesta previamente rivolta al titolare o al responsabile del trattamento per la tutela di uno
o più diritti riconosciuti dall’art. 13 della legge; in difetto, il ricorso è inammissibile.
• Garante 8 giugno 2000, in Bollettino n. 13, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 40473)

Una richiesta inoltrata al titolare o al responsabile del trattamento al fine di raccogliere ele-
menti di prova ai fini investigativi ai sensi dell’art. 38 delle disp. att. al c.p.p., è inidonea a costi-
tuire valido esercizio del diritto di accesso previsto dall’art. 13 della legge n. 675/1996 e non è,
quindi, utile a consentire la successiva proposizione al Garante del ricorso ex art. 29 della legge,
che pertanto è inammissibile.
• Garante 8 giugno 2000, in Bollettino n. 13, pag. 35 (v. anche www.garanteprivacy.it:doc.nr.40473)

242 M a s s i m a r i o 1 9 9 7 / 2 0 0 1 • Tu t e l a a m m i n i s t r a t i v o - g i u r i s d i z i o n a l e e s a n z i o n i
Non possono essere prese in considerazione nell’ambito del procedimento attivato con il
ricorso di cui all’art. 29 della legge n. 675/1996, che deve essere quindi dichiarato inammissi-
bile, le richieste del ricorrente dirette non a far valere i diritti previsti dall’art. 13 della legge,
quanto a sollecitare l’esercizio dei poteri di accertamento e di controllo del Garante in relazione
alla presunta illiceità del trattamento dei dati e al mancato rispetto dell’obbligo di notificazione
all’Autorità. Tali richieste possono, peraltro, essere esaminate dal Garante in un distinto proce-
dimento instaurato ai sensi degli artt. 31 e 32 della legge, ove l’interessato esponga una pun-
tuale e documentata rappresentazione di specifici fatti e comportamenti.
• Garante 28 dicembre 2000, in Bollettino n. 14/15, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 42284)

La domanda dell’interessato volta a sollecitare l’esercizio dei poteri di accertamento e con-


trollo del Garante (nella specie, in relazione alla presunta illiceità del trattamento dei dati ed alla
violazione dell’obbligo di notificazione), ove formulata nell’ambito del procedimento di cui
all’art. 29 della legge n. 675/1996, è inammissibile, trattandosi di richiesta valutabile
dall’Autorità soltanto in un distinto procedimento instaurato ai sensi degli artt. 31 (segnalazione
o reclamo) e 32 della legge, che richiede una puntuale e documentata rappresentazione di spe-
cifici comportamenti o fatti.
• Garante 28 dicembre 2000, in Bollettino n. 16, pag. 15 (v. anche www.garanteprivacy.it: doc. n. 40045)

Il ricorso formulato ai sensi dell’art. 29 della legge n. 675/1996 non può essere proposto
per lamentare qualsiasi violazione di un diritto della personalità, come può avvenire invece in
caso di segnalazioni o reclami che possono essere rivolti anch’essi al Garante, ma solo per la
tutela delle specifiche situazioni soggettive tassativamente indicate dall’art. 13 della legge.
• Garante 22 gennaio 2001, in Bollettino n. 16, pag. 34 (v. anche www.garanteprivacy.it: doc. n. 40133)

L’art. 13 della legge n. 675/1996 consente l’accesso ai dati personali da parte dei soggetti
cui i dati stessi si riferiscono. È quindi inammissibile il ricorso proposto, ai sensi dell’art. 29 della
legge, da alcuni dipendenti nei confronti del titolare/datore di lavoro, al fine di ottenere l’ac-
cesso alle note di qualifica e alle procedura di valutazione concernenti altri lavoratori.
• Garante 6 febbraio 2001, in Bollettino n. 17, pag. 24 (v. anche www.garanteprivacy.it: doc. n. 39236)

L’istanza avanzata dall’interessato al titolare del trattamento (nella specie, un istituto di


credito) intesa a conoscere il nominativo del soggetto che ha commissionato la richiesta di infor-
mazioni commerciali sull’attività economica svolta dall’interessato stesso (intestatario di un c/c
bancario), nonché degli altri soggetti cui tali dati sarebbero stati comunicati, non rientra tra
quelle azionabili in forza dell’art. 13 della legge n. 675/1996. Il relativo ricorso, proposto ai sensi
dell’art. 29 della legge, deve essere quindi dichiarato inammissibile.
• Garante 13 febbraio 2001, in Bollettino n. 17, pag. 26 (v. anche www.garanteprivacy.it: doc. n. 30995)

RICORSO AL GARANTE > INAMMISSIBILITÀ > 243


DATI TRATTATI DAL C.E.D. DEL DIPARTIMENTO DI PUBBLICA SICUREZZA
Il ricorso di cui all’art. 29 della legge n. 675/1996 può avere ad oggetto solo i diritti tassati-
vamente indicati dall’art. 13 della legge, tra i quali non rientra la richiesta volta a conoscere i nomi-
nativi di terzi cui il titolare del trattamento abbia comunicato o diffuso dati personali dell’interes-
sato. Ne consegue che il ricorso, ove diretto a far valere tale pretesa, è inammissibile.
• Garante 8 maggio 2001, in Bollettino n. 20, pag. 9 (v. anche www.garanteprivacy.it: doc. n. 39280)

Non costituisce valido esercizio dei diritti di cui all’art. 13 della legge n. 675/1996, con con-
seguente inammissibilità del successivo ricorso proposto ai sensi dell’art. 29 della legge, la richie-
sta d’accesso ai documenti amministrativi, che attiene ad un distinto diritto tutelato dalla legge
n. 241/1990.
• Garante 27 giugno 2001, in Bollettino n. 21, pag. 10 (v. anche www.garanteprivacy.it: doc. n. 39224)

E’ inammissibile ai sensi dell’art. 29, comma 2, della legge n. 675/1996, e non può quindi
essere proposta per la prima volta in sede di ricorso, la richiesta volta ad ottenere l’indicazione del
responsabile del trattamento dei dati eventualmente designato ai sensi dell’art. 8 della legge, ove
non oggetto della previa istanza al titolare prevista dall’art. 13.
• Garante 3 settembre 2001, in Bollettino n. 22, pag. 63 (v. anche www.garanteprivacy.it: doc. nr. 41195)

Non è azionabile ai sensi dell’art. 13 della legge n. 675/1996, e deve essere quindi dichiarata
inammissibile, la richiesta rivolta la Garante di pubblicazione su un quotidiano del provvedimento
emesso all’esito del procedimento instaurato ai sensi dell’art. 29 della legge.
• Garante 30 ottobre 2001, in Bollettino n. 23, pag. 22 (v. anche www.garanteprivacy.it: doc. n. 42188)

Con il procedimento disciplinato dall’art. 29 della legge n. 675/1996 l’interessato non può
lamentare ogni presunta violazione di principi contenuti nella legge, come può invece avvenire
attraverso segnalazioni o reclami, ma solo le violazioni dei diritti riconosciuti dall’art. 13, oggetto
della relativa istanza preventivamente rivolta al titolare o al responsabile del trattamento. È quindi
inammissibile il ricorso con cui si chieda di accertare l’adempimento dell’obbligo di informativa
imposto dall’art. 10 della legge n. 675/1996.
• Garante 21 novembre 2001, in Bollettino n. 23, pag. 114 (v. anche www.garanteprivacy.it: doc. n. 40449)

Inammissibilità del ricorso e instaurazione di autonomo procedimento

Al di fuori dell’ipotesi del ricorso disciplinato dall’art. 29, la legge n. 675/1996 ha previsto la
possibilità di accertare le eventuali violazioni delle prescrizioni in tema di protezione dei dati per-
sonali anche attraverso autonome determinazioni assunte d’ufficio dal Garante, oltre che per

244 M a s s i m a r i o 1 9 9 7 / 2 0 0 1 • Tu t e l a a m m i n i s t r a t i v o - g i u r i s d i z i o n a l e e s a n z i o n i
impulso degli interessati mediante gli strumenti della “segnalazione” e del “reclamo” ai sensi del-
l’art. 31, comma 1, lett. d) della legge (nella specie il Garante, pur dichiarando inammissibile il
ricorso presentato ai sensi dell’art. 29, ha instaurato un autonomo procedimento con riferimento
alla distribuzione, da parte di un Comune, agli utenti degli asili nido, di un questionario finalizzato
all’acquisizione di dati personali di varia natura).
• Garante 7 giugno 1999, in Bollettino n. 9, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 42308)

La declaratoria di inammissibilità del ricorso presentato ai sensi dell’art. 29 della legge


n. 675/1996 non preclude al Garante la facoltà di avviare, sulla base delle circostanze descritte
dall’interessato e della documentazione acquisita, un autonomo procedimento, previsto dal-
l’art. 31, comma 1, della legge, al fine di accertare l’eventuale violazione da parte del titolare o
del responsabile del trattamento della normativa in materia di dati personali (nella specie,
l’Autorità ha avviato un procedimento per accertare le modalità con le quali sono stati diffusi da
una A.S.L. dati idonei a rivelare lo stato di salute di un dirigente medico della stessa azienda).
• Garante 9 giugno 1999, in Bollettino n. 9, pag. 42 (v. anche www.garanteprivacy.it: doc. n. 40995)

La declaratoria di inammissibilità del ricorso presentato ai sensi dell’art. 29 della legge


n. 675/1996 non preclude al Garante la facoltà di avviare, sulla base delle circostanze descritte dal-
l’interessato e della documentazione acquisita, un autonomo procedimento, previsto dall’art. 31,
comma 1, della legge, al fine di accertare l’eventuale violazione da parte del titolare o del respon-
sabile del trattamento della normativa in materia di dati personali (nella specie, l’Autorità ha
avviato un procedimento per accertare le modalità con le quali i dati dell’interessato, acquisiti da
una terza persona, sono stati divulgati mediante produzione nel giudizio civile di separazione pen-
dente tra l’interessato stesso e la moglie).
• Garante 9 giugno 1999, in Bollettino n. 9, pag. 45 (v. anche www.garanteprivacy.it: doc. n. 40373)

Non possono essere prese in considerazione nell’ambito del procedimento attivato con il
ricorso di cui all’art. 29 della legge n. 675/1996, che deve essere quindi dichiarato inammissibile,
le richieste del ricorrente dirette non a far valere i diritti previsti dall’art. 13 della legge, quanto a
sollecitare l’esercizio dei poteri di accertamento e di controllo del Garante in relazione alla pre-
sunta illiceità del trattamento dei dati e al mancato rispetto dell’obbligo di notificazione
all’Autorità. Tali richieste possono, peraltro, essere esaminate dal Garante in un distinto procedi-
mento instaurato ai sensi degli artt. 31 e 32 della legge, ove l’interessato esponga una puntuale e
documentata rappresentazione di specifici fatti e comportamenti.
• Garante 28 dicembre 2000, in Bollettino n. 14/15, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 42284)

Anche nell’ipotesi in cui il procedimento instaurato ai sensi dell’art. 29 della legge


n. 675/1996 si concluda con dichiarazione d’inammissibilità per mancata preventiva formulazione

RICORSO AL GARANTE > INAMMISSIBILITÀ > 245


INAMMISSIBILITÀ DEL RICORSO E INSTAURAZIONE DI AUTONOMO PROCEDIMENTO
dell’istanza di cui all’art. 13, resta integra la facoltà del Garante di instaurare un autonomo proce-
dimento ai sensi dell’art. 31, comma 1, della legge, al fine della verifica di particolari aspetti con-
cernenti il trattamento dei dati operato dal titolare.
• Garante 4 giugno 2001, in Bollettino n. 21, pag. 31 (v. anche www.garanteprivacy.it: doc. n. 38945)

Anche nell’ipotesi in cui il procedimento instaurato ai sensi dell’art. 29 della legge


n. 675/1996 si concluda con dichiarazione di non luogo a provvedere, per avere il titolare dato
riscontro alle richieste dell’interessato, resta integra la facoltà del Garante di instaurare un auto-
nomo procedimento ai sensi dell’art. 31, comma 1, della legge n. 675/1996 al fine della verifica
di particolari aspetti concernenti il trattamento dei dati operato dal titolare.
• Garante 25 ottobre 2001, in Bollettino n. 23, pag. 25 (v. anche www.garanteprivacy.it: doc. n. 39388)

Incompetenza del Garante

Risarcimento danni

Il Garante non è competente in ordine alle richieste di risarcimento dei danni, anche non
patrimoniali, causati dal trattamento dei dati personali, per i quali l’interessato deve rivolgersi
all’autorità giudiziaria.
• Garante 12 ottobre 1998, in Bollettino n. 6, pag. 34 (v. anche www.garanteprivacy.it: doc. n. 40005)

L’accertata inammissibilità del ricorso proposto al Garante ai sensi dell’art. 29 della legge
n. 675/1996 non pregiudica la possibilità per l’interessato di rivolgersi all’autorità giudiziaria per
far valere diritti rispetto ai quali detta legge non attribuisce competenza al Garante quale, ad
esempio, quello all’eventuale risarcimento del danno.
• Garante 12 ottobre 1998, in Bollettino n. 6, pag. 90 (v. anche www.garanteprivacy.it: doc. n. 30855)

L’accertata inammissibilità del ricorso proposto al Garante ai sensi dell’art. 29 della


legge n. 675/1996 non pregiudica la possibilità per l’interessato di rivolgersi al giudice ordi-
nario per far accertare eventuali reati e per chiedere il risarcimento dei danni, anche morali,
derivanti dal trattamento dei dati, non avendo la legge attribuito al Garante alcuna compe-
tenza in materia.
• Garante 21 ottobre 1998, in Bollettino n. 6, pag. 92 (v. anche www.garanteprivacy.it: doc. n. 30999)
• Garante 9 giugno 1999, in Bollettino n. 9, pag. 42 (v. anche www.garanteprivacy.it: doc. n. 40995)
• Garante 9 giugno 1999, in Bollettino n. 9, pag. 45 (v. anche www.garanteprivacy.it: doc. n. 40373)
• Garante 29 settembre 1999, in Bollettino n. 10, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 41147)

246 M a s s i m a r i o 1 9 9 7 / 2 0 0 1 • Tu t e l a a m m i n i s t r a t i v o - g i u r i s d i z i o n a l e e s a n z i o n i
Il Garante non è competente in ordine a richieste di risarcimento danni in relazione a vio-
lazioni della legge n. 675/1996; tali richieste devono essere fatte valere avanti all’Autorità giudi-
ziaria ordinaria.
• Garante 26 ottobre 1999, in Bollettino n. 10, pag. 30 (v. anche www.garanteprivacy.it: doc. n. 40193)

È inammissibile il ricorso di cui all’art. 29 della legge n. 675/1996 contenente la richiesta


di risarcimento dei danni derivanti dall’illegittimo trattamento dei dati operato dal titolare,
atteso che la legge non attribuisce in materia alcuna competenza al Garante. La domanda può
essere fatta valere avanti l’A.g.o..
• Garante 27 febbraio 2001, in Bollettino n. 17, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40485)

È inammissibile il ricorso proposto ai sensi dell’art. 29 della legge n. 675/1996 avente ad


oggetto la richiesta di risarcimento dei danni derivanti dall’illecito trattamento dei dati personali,
in quanto la legge non attribuisce al Garante alcuna competenza al riguardo.
• Garante 19 dicembre 2001, in Bollettino n. 23, pag. 17 (v. anche www.garanteprivacy.it: doc. n. 39336)
• Garante 19 dicembre 2001, in Bollettino n. 23, pag. 103 (v. anche www.garanteprivacy.it: doc. n. 40867)

Questioni di validità di un contratto

Non rientra nella competenza del Garante l’esame di questioni attinenti alla validità di un
contratto o di alcune clausole ritenute vessatorie dall’interessato. Il ricorso proposto ai sensi del-
l’art. 29 della legge n. 675/1996 che abbia ad oggetto tali questioni è inammissibile.
• Garante 9 gennaio 1999, in Bollettino n. 7, pag. 42 (v. anche www.garanteprivacy.it: doc. n. 40803)

È improponibile l’istanza al Garante volta ad ottenere la caducazione o la disapplicazione


di una clausola contrattuale relativa all’acquisizione, da parte di una società assicuratrice, delle
cartelle cliniche inerenti ai sinistri denunziati; infatti, ove adìto, il Garante, ricorrendone i pre-
supposti, ha soltanto il potere di disporre il blocco o il divieto di trattare i dati, ma non anche di
incidere direttamente sul rapporto contrattuale e sugli obblighi reciprocamente assunti dalle
parti, la cui invalidità o esigenza di riformulazione può essere fatta valere soltanto attraverso gli
appositi strumenti civilistici.
• Garante 12 aprile 1999, in Bollettino n. 8, pag. 42 (v. anche www.garanteprivacy.it: doc. n. 39921)

Legittimazione a ricorrere
I diritti previsti dall’art. 13 della legge n. 675/1996 possono essere esercitati solo dagli

RICORSO AL GARANTE > INAMMISSIBILITÀ > 247


INCOMPETENZA DEL GARANTE> QUESTIONI DI VALIDITÀ DI UN CONTRATTO
“interessati”, cioè dalle persone cui si riferiscono i dati personali oggetto di trattamento. Il
ricorso presentato al Garante ai sensi dell’art. 29 della legge da parte di soggetti diversi dagli
interessati, non muniti di una delega di questi, è quindi inammissibile (fattispecie nella quale è
stato dichiarato inammissibile il ricorso presentato da alcuni consiglieri comunali in qualità di
“rappresentanti dei cittadini”).
• Garante 7 giugno 1999, in Bollettino n. 9, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 42308)

Ove la tutela dei diritti di cui all’art. 13 della legge n. 675/1996 venga invocata in favore di
un minore, ai fini dell’ammissibilità della domanda è sufficiente che il ricorso ex art. 29 della
legge sia proposto da uno solo dei genitori esercenti la potestà, trattandosi di atto di ordinaria
amministrazione che, ai sensi dell’art. 320, comma 1, c.c., può essere compiuto disgiuntamente
da ciascun genitore.
• Garante 14 marzo 2001, in Bollettino n. 18, pag. 15 (v. anche www.garanteprivacy.it: doc. n. 39564)

È inammissibile il ricorso ex art. 29 della legge n. 675/96 presentato a mezzo di procura-


tore speciale (nel caso di specie il segretario di un sindacato) qualora la procura a questi confe-
rita, seppur ritualmente allegata al ricorso, non rechi la sottoscrizione autenticata dell’interes-
sato conferente.
• Garante 23 maggio 2001, in Bollettino n. 20, pag. 45 (v. anche www.garanteprivacy.it: doc. n. 40101)

Mancata autenticazione della sottoscrizione in calce alla procura


speciale

È inammissibile il ricorso ex art. 29 della legge n. 675/1996 presentato a mezzo di procu-


ratore speciale (nel caso di specie il segretario di un sindacato) qualora la procura a questi con-
ferita, seppur ritualmente allegata al ricorso, non rechi la sottoscrizione autenticata dell’interes-
sato conferente.
• Garante 23 maggio 2001, in Bollettino n. 20, pag. 45 (v. anche www.garanteprivacy.it: doc. n. 40101)

Mancata indicazione del provvedimento richiesto

Come richiesto dall’art. 18, comma 1, lett. c) del d.P.R. n. 501/1998, il ricorso al Garante
deve contenere, a pena di inammissibilità, l’indicazione del provvedimento richiesto all’Autorità.
È quindi inammissibile il ricorso nel quale l’interessato si limiti a domandare genericamente al
Garante di accertare se siano ravvisabili violazioni alla legge n. 675/1996 nel trattamento dei dati
operato dal titolare.
• Garante 13 settembre 1999, in Bollettino n. 9, pag. 49 (v. anche www.garanteprivacy.it: doc. n. 40831)

248 M a s s i m a r i o 1 9 9 7 / 2 0 0 1 • Tu t e l a a m m i n i s t r a t i v o - g i u r i s d i z i o n a l e e s a n z i o n i
Il ricorso è inammissibile quando non indica il preciso provvedimento che viene domandato
al Garante, come richiesto dall’art. 18, comma 1, lett. c) del d.P.R. n. 501/1998 (nel caso di spe-
cie, il ricorrente si è limitato a formulare una generica istanza di verifica della legittimità dell’in-
vio di una sollecitazione elettorale).
• Garante 29 settembre 1999, in Bollettino n. 10, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 41147)

Mancato esperimento dell’istanza di accesso ai dati

È inammissibile il ricorso proposto al Garante ai sensi dell’art. 29 della legge n. 675/1996,


ove non preceduto dall’istanza presentata direttamente al titolare o al responsabile del tratta-
mento ai sensi dell’art. 13 della legge.
• Garante 21 ottobre 1998, in Bollettino n. 6, pag. 92 (v. anche www.garanteprivacy.it: doc. n. 30999)
• Garante 27 febbraio 2001, in Bollettino n. 17, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40485)
• Garante 20 giugno 2001, in Bollettino n. 21, pag. 23 (v. anche www.garanteprivacy.it: doc. n. 30975)

Il ricorso proposto ai sensi dell’art. 29 della legge n. 675/1996, ove non preceduto dall’i-
stanza di cui all’art. 13 della legge, è inammissibile.
• Garante 9 gennaio 1999, in Bollettino n. 7, pag. 44 (v. anche www.garanteprivacy.it: doc. n. 42296)
• Garante 13 gennaio 1999, in Bollettino n. 7, pag. 46 (v. anche www.garanteprivacy.it: doc. n. 30875)
• Garante 7 aprile 1999, in Bollettino n. 8, pag. 40 (v. anche www.garanteprivacy.it: doc. n. 40397)
• Garante 14 marzo 2001, in Bollettino n. 18, pag. 28 (v. anche www.garanteprivacy.it: doc. n. 42216)
• Garante 14 marzo 2001, in Bollettino n. 18, pag. 30 (v. anche www.garanteprivacy.it: doc. n. 40145)

È inammissibile il ricorso proposto ai sensi dell’art. 29 della legge n. 675/1996 ove le


richieste in esso contenute non siano state preventivamente azionate con l’istanza ex art. 13
della legge.
• Garante 16 marzo 1999, in Bollettino n. 8, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 39789)

La richiesta di rettifica formulata nei confronti di un settimanale ai sensi dell’art. 42 della


legge n. 46/1981 è cosa diversa dall’istanza di cui all’art. 13 della legge n. 675/1996; ne conse-
gue che il ricorso ex art. 29, ove non preceduto da una regolare istanza ex art. 13, va dichiarato
inammissibile.
• Garante 7 aprile 1999, in Bollettino n. 8, pag. 40 (v. anche www.garanteprivacy.it: doc. n. 40397)

RICORSO AL GARANTE > INAMMISSIBILITÀ > 249


MANCATO ESPERIMENTO DELL’ISTANZA DI ACCESSO AI DATI
Non può essere considerata valida forma di esercizio dei diritti previsti dall’art. 13 della legge
n. 675/1996 un’interpellanza rivolta da alcuni consiglieri comunali al sindaco contenente segnala-
zioni di violazioni della privacy, asseritamene sussistenti nella distribuzione da parte del Comune
agli utenti degli asili nido di un questionario finalizzato all’acquisizione di dati personali di varia
natura. Il conseguente ricorso presentato al Garante ex art. 29 della legge è, quindi, inammissibile.
• Garante 7 giugno 1999, in Bollettino n. 9, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 42308)

Il ricorso al Garante previsto dall’art. 29 della legge n. 675/1996 deve essere sempre prece-
duto, a pena di inammissibilità, dalla presentazione dell’istanza al titolare o al responsabile del
trattamento ai sensi dell’art. 13, comma 2, della legge. La proposizione immediata del ricorso è
invece possibile solo nell’ipotesi in cui il decorso del tempo necessario per interpellare il titolare o
il responsabile “esporrebbe taluno a pregiudizio imminente e irreparabile” (comma 2 citato).
• Garante 9 giugno 1999, in Bollettino n. 9, pag. 42 (v. anche www.garanteprivacy.it: doc. n. 40995)

Non costituisce valida proposizione dell’istanza prevista dall’art. 13 della legge


n. 675/1996 l’invio al titolare del trattamento, da parte dell’interessato, di una lettera conte-
nente una generica denuncia di violazione della legge, senza alcun riferimento, anche indiretto,
agli specifici diritti tutelati dal citato art. 13; il conseguente ricorso al Garante, proposto ai sensi
dell’art. 29, è quindi inammissibile.
• Garante 20 dicembre 1999, in Bollettino n. 10, pag. 43 (v. anche www.garanteprivacy.it: doc. n. 30895)

Una richiesta inoltrata al titolare o al responsabile del trattamento al fine di raccogliere ele-
menti di prova ai fini investigativi ai sensi dell’art. 38 delle disp. att. al c.p.p., è inidonea a costi-
tuire valido esercizio del diritto di accesso previsto dall’art. 13 della legge n. 675/1996 e non è,
quindi, utile a consentire la successiva proposizione al Garante del ricorso ex art. 29 della legge,
che pertanto è inammissibile.
• Garante 8 giugno 2000, in Bollettino n. 13, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 40473)

La mancata preventiva proposizione dell’istanza di cui all’art. 13 della legge n. 675/1996 non
può essere ovviata dalla diretta comunicazione al titolare del trattamento del ricorso proposto ai
sensi dell’art. 29 della legge.
• Garante 14 marzo 2001, in Bollettino n. 18, pag. 28 (v. anche www.garanteprivacy.it: doc. n. 42216)

Ai sensi dell’art. 29, comma 2, della legge n. 675/1996, sono inammissibili, e non possono
quindi essere proposte per la prima volta in sede di ricorso, richieste di accesso ai dati, di cono-
scenza della loro origine, nonché della logica e delle finalità del trattamento, che non siano state
oggetto della previa istanza al titolare o al responsabile prevista dell’art. 13 della legge.
• Garante 10 aprile 2001, in Bollettino n. 19, pag. 26 (v. anche www.garanteprivacy.it: doc. n. 31015)

250 M a s s i m a r i o 1 9 9 7 / 2 0 0 1 • Tu t e l a a m m i n i s t r a t i v o - g i u r i s d i z i o n a l e e s a n z i o n i
Il ricorso inoltrato al Garante dall’interessato ai sensi all’art. 29 della legge n. 675/1996,
ove non preceduto dalla proposizione al titolare o al responsabile del trattamento dell’istanza di
cui all’art. 13 della legge, è inammissibile.
• Garante 20 giugno 2001, in Bollettino n. 21, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 41806)

È inammissibile ai sensi dell’art. 29, comma 2, della legge n.. 675/1996, e non può quindi
essere proposta per la prima volta in sede di ricorso, la richiesta volta ad ottenere l’indicazione
del responsabile del trattamento dei dati eventualmente designato ai sensi dell’art. 8 della
legge, ove non oggetto della previa istanza al titolare prevista dall’art. 13.
• Garante 3 settembre 2001, in Bollettino n. 22, pag. 63 (v. anche www.garanteprivacy.it: doc. n. 41195)

È inammissibile ai sensi dell’art. 29, comma 2, della legge n. 675/1996, e non può quindi
essere proposta per la prima volta in sede di ricorso, la richiesta volta ad ottenere l’inserimento
di una “precisazione” in relazione ai dati oggetto di trattamento, ove non contenuta nella pre-
ventiva istanza prevista dall’art. 13 della legge.
• Garante 3 ottobre 2001, in Bollettino n. 23, pag. 138 (v. anche www.garanteprivacy.it: doc. n. 41886)

Omessa allegazione dell’istanza di accesso ai dati

In caso di mancata allegazione dell’istanza di cui all’art. 13 della legge n. 675/1996 agli atti
del procedimento promosso ex art. 29 della legge (anche a seguito dell’invito del Garante alla
regolarizzazione del medesimo), il ricorso va dichiarato inammissibile.
• Garante 20 giugno 2001, in Bollettino n. 21, pag. 23 (v. anche www.garanteprivacy.it: doc. n. 30975)

Omessa regolarizzazione del ricorso

La mancata regolarizzazione, nei termini stabiliti dall’art. 19, comma 1, lett. c), del
d.P.R. n. 501/1998, del ricorso presentato ai sensi dell’art. 29 della legge n. 675/1996, com-
porta la declaratoria di inammissibilità del ricorso stesso.
• Garante 13 febbraio 2001, in Bollettino n. 17, pag. 34 (v. anche www.garanteprivacy.it: doc. n. 38913)
• Garante 24 aprile 2001, inedito (v. anche www.garanteprivacy.it: doc. n. 39196)
• Garante 24 settembre 2001, in Bollettino n. 22, pag. 68 (v. anche www.garanteprivacy.it: doc. n. 39688)
• Garante 24 settembre 2001, in Bollettino n. 22, pag. 69 (v. anche www.garanteprivacy.it: doc. n. 40293)
• Garante 5 dicembre 2001, in Bollettino n. 23, pag. 106 (v. anche www.garanteprivacy.it: doc. n. 39216)
• Garante 31 dicembre 2001, in Bollettino n. 23, pag. 107 (v. anche www.garanteprivacy.it: doc. n. 39560)

RICORSO AL GARANTE > INAMMISSIBILITÀ > 251


OMESSA ALLEGAZIONE DELL’ISTANZA DI ACCESSO AI DATI
Il ricorso proposto ai sensi dell’art. 29 della legge n. 675/1996, ove non regolarizzato nei
termini di cui all’art. 19, comma 1, lett. c), del d.P.R. n. 501/1998, è inammissibile.
• Garante 14 giugno 2001, in Bollettino n. 21, pag. 38 (v. anche www.garanteprivacy.it: doc. n. 41175)

Pluralità di titolari del trattamento

Non possono essere accolte richieste di cancellazione dei dati nei confronti di titolari, che
eventualmente li detengano, nei cui confronti l’interessato non abbia direttamente proposto il
ricorso di cui all’art. 29 della legge n. 675/1996, e che comunque non abbiano preso parte al
relativo procedimento; il titolare, nei cui confronti è presentato il ricorso, non ha infatti un potere
diretto di far cancellare dati contenuti in archivi gestiti da distinti ed autonomi titolari (nella spe-
cie, l’interessato ha proposto il ricorso nei confronti della società dalla quale ha ottenuto un
finanziamento, chiedendo però la cancellazione dei dati trasmessi da tale società ad altro sog-
getto, gestore di una “centrale rischi” privata, nei cui confronti il ricorrente non ha inoltrato
alcuna richiesta diretta).
• Garante 29 settembre 1999, in Bollettino n. 10, pag. 45 (v. anche www.garanteprivacy.it: doc. n. 40025)
• Garante 9 dicembre 1999, in Bollettino n. 10, pag. 48 (v. anche www.garanteprivacy.it: doc. n. 42300)

L’istanza rivolta ai sensi dell’art. 13 della legge n. 675/1996 al titolare del trattamento dei
dati personali non può essere considerata validamente proposta anche nei confronti di un altro
soggetto al quale venga indirizzata “per conoscenza”; tale dizione, infatti, non consente la ine-
quivoca identificazione di quest’ultimo quale effettivo destinatario della richiesta contenuta nel-
l’istanza. Il conseguente ricorso presentato nei suoi confronti ai sensi dell’art. 29 della legge è
quindi inammissibile.
• Garante 21 novembre 2001, in Bollettino n. 23, pag. 108 (v. anche www.garanteprivacy.it: doc. n. 39668)

Preventiva adizione dell’a.g.o.

Ai sensi dell’art. 29, comma 1, della legge n. 675/1996, che fissa il principio dell’alternati-
vità tra la giurisdizione dell’A.g.o. ed il procedimento dinanzi al Garante, il ricorso al Garante non
può essere proposto qualora, per il medesimo oggetto e tra le stesse parti, sia stata già adita
l’autorità giudiziaria; in tal caso, il ricorso dev’essere dichiarato inammissibile.
• Garante 28 maggio 2001, in Bollettino n. 20, pag. 42 (v. anche www.garanteprivacy.it: doc. n. 39841)

Preventiva adizione del giudice amministrativo

Il principio di alternatività di cui all’art. 29, comma 1, della legge n. 675/1996, opera sol-

252 M a s s i m a r i o 1 9 9 7 / 2 0 0 1 • Tu t e l a a m m i n i s t r a t i v o - g i u r i s d i z i o n a l e e s a n z i o n i
tanto tra il Garante e l’A.g.o., unica autorità avente giurisdizione sulle controversie concernenti
l’applicazione della legge n. 675/1996 e, segnatamente, sui diritti di cui all’art. 13; pertanto, ove
l’interessato abbia preventivamente esercitato il diritto di accesso ai documenti amministrativi
innanzi al Giudice amministrativo (legge n. 241/1990), non sussistono preclusioni in relazione
alla possibilità di esercitare il distinto diritto di accesso ai dati innanzi al Garante – con conse-
guente ammissibilità del relativo ricorso – o, in via alternativa, all’A.g.o..
• Garante 17 settembre 2001, in Bollettino n. 22, pag. 72 (v. anche www.garanteprivacy.it: doc. n. 39476)

Proposizione immediata del ricorso

La proposizione immediata al Garante del ricorso previsto dall’art. 29 della legge


n. 675/1996 è possibile soltanto nell’ipotesi in cui il decorso del tempo necessario per interpel-
lare il titolare o il responsabile con l’istanza di cui all’art. 13 della legge, o per attendere il riscon-
tro a tale richiesta, esporrebbe l’interessato ad un pregiudizio imminente ed irreparabile. A pena
d’inammissibilità del ricorso, spetta al ricorrente fornire la prova dell’esistenza dei presupposti
di tale pregiudizio.
• Garante 9 gennaio 1999, in Bollettino n. 7, pag. 44 (v. anche www.garanteprivacy.it: doc. n. 42296)
• Garante 13 gennaio 1999, in Bollettino n. 7, pag. 46 (v. anche www.garanteprivacy.it: doc. n. 30875)
• Garante 7 aprile 1999, in Bollettino n. 8, pag. 40 (v. anche www.garanteprivacy.it: doc. n. 40397)
• Garante 14 marzo 2001, in Bollettino n. 18, pag. 28 (v. anche www.garanteprivacy.it: doc. n. 42216)
• Garante 14 marzo 2001, in Bollettino n. 18, pag. 30 (v. anche www.garanteprivacy.it: doc. n. 40145)
• Garante 8 maggio 2001, in Bollettino n. 20, pag. 38 (v. anche www.garanteprivacy.it: doc. n. 41155)
• Garante 19 dicembre 2001, in Bollettino n. 23, pag. 112 (v. anche www.garanteprivacy.it: doc. n. 39396)

Il ricorso al Garante previsto dall’art. 29 della legge n. 675/1996 deve essere sempre prece-
duto, a pena di inammissibilità, dalla presentazione dell’istanza al titolare o al responsabile del
trattamento ai sensi dell’art. 13, comma 2, della legge. La proposizione immediata del ricorso è
invece possibile solo nell’ipotesi in cui il decorso del tempo necessario per interpellare il titolare
o il responsabile “esporrebbe taluno a pregiudizio imminente e irreparabile” (comma 2 citato).
• Garante 9 giugno 1999, in Bollettino n. 9, pag. 42 (v. anche www.garanteprivacy.it: doc. n. 40995)

La presentazione immediata del ricorso al Garante – senza la preventiva proposizione al


titolare o al responsabile del trattamento dell’istanza prevista dall’art. 13 della legge
n. 675/1996 – è possibile solo nell’ipotesi in cui il decorso del tempo necessario per interpel-
lare il titolare o il responsabile “esporrebbe taluno a pregiudizio imminente e irreparabile”
(art. 29, comma 2); in difetto, il ricorso va dichiarato inammissibile.
• Garante 15 dicembre 1999, in Bollettino n. 10, pag. 41 (v. anche www.garanteprivacy.it: doc. n. 30919)
• Garante 20 dicembre 1999, in Bollettino n. 10, pag. 43 (v. anche www.garanteprivacy.it: doc. n. 30895)

RICORSO AL GARANTE > INAMMISSIBILITÀ > 253


PROPOSIZIONE IMMEDIATA DEL RICORSO
Non luogo a provvedere

Profili generali

Nel caso di accoglimento, da parte del titolare del trattamento, dell’invito ad aderire for-
mulato dal Garante ai sensi dell’art. 20, comma 1 del d.P.R. 501/1998, va dichiarato non luogo a
provvedere sul ricorso presentato ai sensi dell’art. 29 della legge n. 675/1996.
• Garante 13 maggio 1999, in Bollettino n. 8, pag. 26 (v. anche www.garanteprivacy.it: doc. n. 39853)

Deve essere dichiarato non luogo a provvedere sul ricorso presentato al Garante ai sensi
dell’art. 29 della legge n. 675/1996 ove il titolare del trattamento aderisca spontaneamente alle
richieste avanzate dall’interessato.
• Garante 29 settembre 1999, in Bollettino n. 10, pag. 31 (v. anche www.garanteprivacy.it: doc. n. 39045)

Nel caso di adempimento, da parte del titolare del trattamento, all’istanza inoltrata dal-
l’interessato, ai sensi dell’art. 13 della legge n. 675/1996, con contestuale comunicazione dei
dati richiesti, va dichiarato non luogo a provvedere sul ricorso presentato al Garante ai sensi del-
l’art. 29 della legge.
• Garante 14 marzo 2001, in Bollettino n. 18, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 40839)
• Garante 3 settembre 2001, in Bollettino n. 22, pag. 63 (v. anche www.garanteprivacy.it: doc. n. 41195)
• Garante 11 settembre 2001, in Bollettino n. 22, pag. 54 (v. anche www.garanteprivacy.it: doc. n. 39292)
• Garante 10 ottobre 2001, in Bollettino n. 23, pag. 132 (v. anche www.garanteprivacy.it: doc. n. 40321)
• Garante 10 ottobre 2001, in Bollettino n. 23, pag. 133 (v. anche www.garanteprivacy.it: doc. n. 40125)
• Garante 25 ottobre 2001, in Bollettino n. 23, pag. 134 (v. anche www.garanteprivacy.it: doc. n. 40433)
• Garante 5 dicembre 2001, in Bollettino n. 23, pag. 101 (v. anche www.garanteprivacy.it: doc. n. 31003)

Secondo il disposto dell’art. 20, comma 2, del d.P.R. n. 501/1998, in caso di adempimento
alle richieste del ricorrente con contestuale comunicazione dei dati richiesti, va dichiarato non
luogo a provvedere sul ricorso proposto ai sensi dell’art. 29 della legge n. 675/1996.
• Garante 4 giugno 2001, in Bollettino n. 21, pag. 29 (v. anche www.garanteprivacy.it: doc. n. 39220)
• Garante 27 giugno 2001, in Bollettino n. 21, pag. 27 (v. anche www.garanteprivacy.it: doc. n. 39436)
• Garante 19 luglio 2001, in Bollettino n. 22, pag. 55 (v. anche www.garanteprivacy.it: doc. n. 42224)
• Garante 19 luglio 2001, in Bollettino n. 22, pag. 59 (v. anche www.garanteprivacy.it: doc. n. 30967)

Nell’ambito del procedimento instaurato a seguito di ricorso presentato ai sensi dell’art. 29


della legge n. 675/1996, va dichiarato non luogo a provvedere sull’istanza dell’interessato volta

254 M a s s i m a r i o 1 9 9 7 / 2 0 0 1 • Tu t e l a a m m i n i s t r a t i v o - g i u r i s d i z i o n a l e e s a n z i o n i
a conoscere l’origine dei dati personali utilizzati per l’invio di comunicazioni politiche a fine di
propaganda elettorale e sulla opposizione all’ulteriore inoltro di analoghi messaggi, ove il tito-
lare del trattamento (nella specie, un candidato alle elezioni politiche) dia riscontro alle richie-
ste, precisando di avere estratto il nominativo del destinatario della comunicazione da elenchi
pubblici (in particolare, dall’elenco telefonico) e si impegni a depennarlo da ogni indirizzario in
suo possesso.
• Garante 10 ottobre 2001, in Bollettino n. 23, pag. 136 (v. anche www.garanteprivacy.it: doc. n. 39404)

Nel caso di adempimento, da parte del titolare del trattamento, all’istanza di cui all’art. 13
della legge n. 675/1996, con conseguente riscontro alle richieste dell’interessato, va dichiarato
non luogo a provvedere sul ricorso presentato ai sensi dell’art. 29 della legge.
• Garante 19 dicembre 2001, in Bollettino n. 23, pag. 117 (v. anche www.garanteprivacy.it: doc. n. 39312)

Non luogo a provvedere e instaurazione di autonomo procedimento

Anche nell’ipotesi in cui il procedimento instaurato ai sensi dell’art. 29 della legge


n. 675/1996 si concluda con dichiarazione di non luogo a provvedere, per avere il titolare dato
riscontro alle richieste dell’interessato, resta integra la facoltà del Garante di instaurare un auto-
nomo procedimento ai sensi dell’art. 31, comma 1, della legge n. 675/1996 al fine della verifica
di particolari aspetti concernenti il trattamento dei dati operato dal titolare.
• Garante 20 giugno 2001, in Bollettino n. 21, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 39316)
• Garante 10 ottobre 2001, in Bollettino n. 23, pag. 27 (v. anche www.garanteprivacy.it: doc. n. 38997)

Tardivo riscontro all’istanza di accesso ai dati

Il riscontro alle richieste dell’interessato effettuato oltre la scadenza del quinto giorno
dalla presentazione dell’istanza di cui all’art. 13 della legge n. 675/1996 costituisce adempi-
mento – seppur tardivo – dell’obbligo di comunicazione dei dati gravante sul titolare del tratta-
mento, con la conseguenza che dev’essere dichiarato non luogo a provvedere sul ricorso suc-
cessivamente proposto ai sensi dell’art. 29 della legge.
• Garante 12 dicembre 2001, in Bollettino n. 23, pag. 128 (v. anche www.garanteprivacy.it: doc. n. 42252)

Tutela di ulteriori diritti avanti l’A.g.o.

Anche in caso di pronunzia, da parte del Garante, di declaratoria di non luogo a provvedere
conseguente all’adempimento del titolare alle istanze dell’interessato (nel caso di specie con-
cernenti l’immediata cancellazione di alcuni dati personali da specifiche pagine web), è fatta

RICORSO AL GARANTE > NON LUOGO A PROVVEDERE > 255


NON LUOGO A PROVVEDERE E INSTAURAZIONE DI AUTONOMO PROCEDIMENTO
salva la facoltà di quest’ultimo di adire l’Autorità giudiziaria per la tutela di ulteriori suoi interessi
(quali il diritto all’onore ed al risarcimento del danno).
• Garante 16 gennaio 2001, in Bollettino n. 16, pag. 36 (v. anche www.garanteprivacy.it: doc. n. 42244)

Formalità del procedimento


Ai sensi dell’art. 13 della legge n. 675/1996, l’interessato ha il diritto di chiedere direttamente
alle società finanziarie e agli istituti di credito quali informazioni che lo riguardano siano state rac-
colte in relazione al trattamento dei dati connesso a richieste o concessioni di finanziamenti. Nel
caso di mancata risposta nel termine di cinque giorni (v. art. 29, comma 2 della legge n. 675/1996),
o di rifiuto all’accesso o all’esercizio di uno degli altri diritti elencati nel citato art. 13, l’interessato
può ricorrere alla magistratura ordinaria o, alternativamente, al Garante, con le modalità previste
dall’art. 29 della legge.
• Garante 10 giugno 1998, in Bollettino n. 5, pag. 18 (v. anche www.garanteprivacy.it: doc. n. 40955)

Le richieste di cui all’art. 13, comma 1, lett. c), n. 1 della legge n. 675/1996, dirette a cono-
scere i dati, la loro origine nonché le finalità e la logica del loro trattamento, possono essere avan-
zate dagli interessati senza particolari formalità, ed anche verbalmente (cfr. art. 17, comma 1 del
d.P.R. n. 501/1998). Risulta, pertanto, illegittima la richiesta rivolta all’interessato di indicare, nel-
l’istanza di accesso ai dati presentata ai sensi dell’art. 13, eventuali codici identificativi ad esso
attribuiti dal titolare del trattamento (nella specie, la società titolare, che ha inviato all’interessato
una pubblicità non richiesta, ha asserito di non poter rispondere all’istanza di accesso nella quale
non era stato indicato il “codice cliente” assegnato all’interessato nel materiale pubblicitario).
• Garante 29 settembre 1999, in Bollettino n. 10, pag. 31 (v. anche www.garanteprivacy.it: doc. n. 39045)

Il ricorso di cui all’art. 29 della legge n. 675/1996 può essere presentato solo in riferimento
all’esercizio dei diritti di cui all’art. 13, comma 1, della legge. In tali ipotesi, il ricorrente deve
avanzare le proprie richieste direttamente nei confronti del titolare o del responsabile del tratta-
mento, ed attendere poi, prima di presentare il ricorso, almeno cinque giorni dalla data di pre-
sentazione di tali richieste, tranne che nell’ipotesi particolare di cui al comma 2 del citato art. 29.
• Garante 26 ottobre 1999, in Bollettino n. 10, pag. 30 (v. anche www.garanteprivacy.it: doc. n. 40193)

Prima di presentare ricorso al Garante previsto dall’art. 29 della legge n. 675/1996, l’inte-
ressato deve esercitare direttamente nei confronti del titolare o del responsabile del tratta-
mento, ai sensi dell’art. 13 della legge, il diritto di accesso ai dati che lo riguardano, proponendo
poi il ricorso, in caso di inerzia o di rigetto dell’istanza, non prima che siano trascorsi almeno cin-
que giorni dal suo inoltro (art. 29, comma 2).
• Garante 8 giugno 2000, in Bollettino n. 13, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 40473)

256 M a s s i m a r i o 1 9 9 7 / 2 0 0 1 • Tu t e l a a m m i n i s t r a t i v o - g i u r i s d i z i o n a l e e s a n z i o n i
Va considerato rispondente alle prescrizioni formali poste dall’art. 29 della legge
n. 675/1996 e dall’art. 18 del d.P.R. n. 501/1998 il ricorso preceduto da una lettera inviata al tito-
lare del trattamento nella quale l’interessato, pur senza citare espressamente l’art. 13, comma 1,
lett. d), della legge n. 675/1996, manifesti chiaramente la volontà di opporsi al trattamento dei
dati personali operato dal titolare.
• Garante 6 febbraio 2001, in Bollettino n. 17, pag. 30 (v. anche www.garanteprivacy.it: doc. n. 40615)

In considerazione dei criteri di semplicità e speditezza cui è ispirato il procedimento per


la trattazione dei ricorsi disciplinato dagli artt. 29 della legge n. 675/1996 e 18 e ss. del
d.P.R. n. 501/1998, non è preclusa alle parti la facoltà di presentare memorie – o di riportarsi
a memorie – nel corso della loro eventuale audizione, anche in aggiunta ad altri documenti e
memorie depositati entro il termine ordinatorio fissato dal Garante.

Garante 25 luglio 2001, in Bollettino n. 22, pag. 70 (v. anche www.garanteprivacy.it: doc. n. 42180)

L’interessato che, nell’esercizio dei diritti di cui all’art. 13 della legge n. 675/1996, richieda
al titolare del trattamento (nella specie una società assicurativa) il rilascio di copia delle fotogra-
fie scattate a seguito di un sinistro e riproducenti lo stato dei luoghi, è gravato dall’onere di dimo-
strare che nella documentazione fotografica siano riportate informazioni che possano essere con-
siderate alla stregua di suoi dati personali ai sensi dell’art. 1, comma 2, lett. c) della legge.
• Garante 8 novembre 2001, in Bollettino n. 23, pag. 67 (v. anche www.garanteprivacy.it: doc. n. 38909)

Accoglimento o rigetto
Profili generali

L’art. 13 della legge n. 675/1996 obbliga il titolare o il responsabile del trattamento dei dati
a fornire senza ritardo un riscontro compiuto ed analitico all’interessato in ordine a tutte le infor-
mazioni di carattere personale che lo riguardano, presenti in archivi o in atti detenuti dal mede-
simo titolare o responsabile.
• Garante 23 giugno 1998, in Bollettino n. 5, pag. 20 (v. anche www.garanteprivacy.it: doc. n. 39949)

Le richieste di cui all’art. 13, comma 1, lett. c), n. 1 della legge n. 675/1996, dirette a cono-
scere i dati, la loro origine nonché le finalità e la logica del loro trattamento, possono essere
avanzate dagli interessati senza particolari formalità, ed anche verbalmente (cfr. art. 17, comma
1 del d.P.R. n. 501/1998). Risulta, pertanto, illegittima la richiesta rivolta all’interessato di indi-
care, nell’istanza di accesso ai dati presentata ai sensi dell’art. 13, eventuali codici identificativi

RICORSO AL GARANTE > ACCOGLIMENTO O RIGETTO > 257


PROFILI GENERALI
ad esso attribuiti dal titolare del trattamento (nella specie, la società titolare, che ha inviato
all’interessato una pubblicità non richiesta, ha asserito di non poter rispondere all’istanza di
accesso nella quale non era stato indicato il “codice cliente” assegnato all’interessato nel mate-
riale pubblicitario).
• Garante 29 settembre 1999, in Bollettino n. 10, pag. 31 (v. anche www.garanteprivacy.it: doc. n. 39045)

Deve essere rigettato, perché infondato, il ricorso proposto ai sensi dell’art. 29 della legge
n. 675/1996, ove il titolare risponda in maniera esauriente alla richiesta dell’interessato di
accesso ai propri dati personali, ripetutamente ribadendo di non detenere i dati in questione, e
l’interessato non fornisca specifiche circostanze che possano far ritenere l’esistenza degli stessi,
anche al fine di provocare l’autonoma attivazione del Garante sulla base dei poteri conferiti
all’Autorità dall’art. 31 della legge.
• Garante 27 febbraio 2001, inedito (v. anche www.garanteprivacy.it: doc. n. 38921)

Va dichiarato infondato il ricorso, proposto ai sensi dell’art. 29 della legge n. 675/1996, con
il quale l’interessato eserciti il diritto, attribuito dall’art. 13, comma 1, lett. d) della legge, di
opporsi al trattamento dei dati operato dal titolare, ove l’interessato stesso non specifichi in
maniera chiara né comprovi sufficientemente i motivi legittimi posti a base della sua richiesta.
• Garante 27 febbraio 2001, in Bollettino n. 17, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40485)

Il titolare è tenuto a fornire riscontro, anche negativo, all’interessato che gli rivolga istanza
ex art. 13 della legge n. 675/1996 al fine di conoscere dell’esistenza o meno di dati personali che
lo riguardano (comma 1 , lett. c) , n. 1).
• Garante 27 febbraio 2001, in Bollettino n. 17, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40485)

Mera disponibilità del titolare a fornire i dati


La mera offerta da parte del gestore telefonico della disponibilità a fornire in dettaglio il
traffico telefonico “in uscita” dall’utenza dell’interessato, non seguita dalla concreta messa a
disposizione dell’elenco delle singole chiamate, non vale a costituire adempimento dell’obbligo
connesso all’esercizio del diritto d’accesso di cui all’art. 13 della legge n. 675/1996; ne consegue
l’accoglimento del ricorso proposto al Garante ai sensi dell’art. 29 della legge.
• Garante 30 ottobre 2001, in Bollettino n. 23, pag. 84 (v. anche www.garanteprivacy.it: doc. n. 39616)

Riscontro incompleto
Il titolare o il responsabile del trattamento dei dati personali devono comunicare, all’inte-

258 M a s s i m a r i o 1 9 9 7 / 2 0 0 1 • Tu t e l a a m m i n i s t r a t i v o - g i u r i s d i z i o n a l e e s a n z i o n i
ressato che ne faccia richiesta, non solo le categorie e i tipi di dati detenuti che lo riguardino, ma
i singoli dati, mettendo in chiaro tutte le informazioni di carattere personale oggetto di tratta-
mento, al fine di consentire all’interessato di valutare le informazioni presenti negli archivi ed
eventualmente esercitare la facoltà di aggiornare, correggere o integrare i dati che si rivelassero
inesatti o incompleti (art. 13, comma 1, lett. c) della legge n. 675/1996).
• Garante 3 settembre 1998, in Bollettino n. 6, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 38901)

In caso di esercizio da parte dell’interessato del diritto di accesso ai dati personali ai sensi
dell’art. 13 della legge n. 675/1996, il titolare o il responsabile del trattamento debbono comu-
nicare non solo le categorie e i tipi di dati, ma i singoli dati detenuti, specificando tutte le infor-
mazioni oggetto di trattamento, al fine di consentire all’interessato di valutarle ed eventual-
mente esercitare la facoltà di aggiornare, integrare o correggere i dati che si rivelassero inesatti
o incompleti.
• Garante 19 dicembre 1998, in Bollettino n. 6, pag. 37 (v. anche www.garanteprivacy.it: doc. n. 39969)

Il riscontro del titolare o del responsabile del trattamento all’istanza ex art. 13 della legge
n. 675/1996 dev’essere completo, cosicché l’interessato possa ottenere tutte le informazioni
richieste; ne consegue che, qualora con l’istanza d’accesso l’interessato abbia richiesto non solo
la cancellazione dei dati oggetto di trattamento, ma anche ulteriori informazioni (es.: i fini e le
modalità dell’intrapreso trattamento), il titolare, al fine di corrispondere compiutamente e nei
termini di legge a detta richiesta, non può limitarsi a dare immediato corso all’istanza di cancel-
lazione senza avere prima comunicato in forma intelligibile tutte le informazioni desiderate.
• Garante 13 gennaio 1999, in Bollettino n. 7, pag. 48 (v. anche www.garanteprivacy.it: doc. n. 40457)

Il riscontro del titolare o del responsabile del trattamento all’istanza ex art. 13 della legge
n. 675/1996 dev’essere completo, di talché l’interessato possa ottenere tutte le informazioni
richieste; ne consegue che dev’essere accolto il ricorso di cui all’art. 29 della legge nel caso in
cui il titolare, anziché fornire al ricorrente tutti i dati contenuti nei propri archivi e documenti, si
sia limitato ad una mera indicazione delle relative tipologie d’appartenenza.
• Garante 19 aprile 1999, in Bollettino n. 8, pag. 33 (v. anche www.garanteprivacy.it: doc. n. 39376)

Ove con il ricorso proposto ai sensi dell’art. 29 della legge n. 675/1996 l’interessato chieda
di conoscere l’origine dei dati personali che lo riguardano, il titolare del trattamento non può
limitarsi ad evidenziare che le informazioni utilizzate provengono da una banca dati costituita
prima dell’entrata in vigore della legge n. 675/1996, in quanto in tal modo indica all’interessato
solo la fonte più immediata di provenienza dei dati, senza specificare la loro reale provenienza,
come richiesto dall’art. 13, comma 1, lett. c), n. 1 (nella specie, il titolare non ha chiarito in che

RICORSO AL GARANTE > ACCOGLIMENTO O RIGETTO > 259


RISCONTRO INCOMPLETO
modo è stata acquisita o formata la banca dati contenente le informazioni utilizzate per l’invio
all’interessato di materiale pubblicitario non richiesto).
• Garante 29 settembre 1999, in Bollettino n. 10, pag. 31 (v. anche www.garanteprivacy.it: doc. n. 39045)

Ai sensi degli artt. 13 della legge n. 675/1996 e 17 del d.P.R. n. 501/1998, il titolare del trat-
tamento deve comunicare, in modo compiuto ed analitico, le informazioni personali che riguar-
dano l’interessato, senza limitarsi ad una mera elencazione delle tipologie di dati detenuti.
• Garante 8 novembre 2001, in Bollettino n. 23, pag. 74 (v. anche www.garanteprivacy.it: doc. n. 40177)
• Garante 15 novembre 2001, in Bollettino n. 23, pag. 62 (v. anche www.garanteprivacy.it: doc. n. 39472)

Il riscontro incompleto, da parte del titolare del trattamento, all’invito ad aderire formulato
dal Garante ai sensi dell’art. 20 del d.P.R. n. 501/1998, determina l’accoglimento parziale del
ricorso proposto ai sensi dell’art. 29 della legge n. 675/1996.
• Garante 27 dicembre 2001, in Bollettino n. 23, pag. 119 (v. anche www.garanteprivacy.it: doc. n. 40225)

Spese del procedimento


Accoglimento del ricorso e compensazione delle spese

Il Garante può disporre la compensazione delle spese del procedimento di cui all’art. 29
della legge n. 675/1996 qualora, pur accogliendo il ricorso dell’interessato avente ad oggetto la
richiesta di accesso ai dati personali, rilevi l’avvenuto erroneo richiamo di normative diverse
dalla legge n. 675/1996 (in particolare della legge n. 241/1990), suscettibile di ingenerare nel
titolare del trattamento equivoci sull’effettivo contenuto dell’istanza.

• Garante 11 settembre 2001, in Bollettino n. 22, pag. 60 (v. anche www.garanteprivacy.it: doc. n. 40165)
• Garante 24 settembre 2001, in Bollettino n. 22, pag. 57 (v. anche www.garanteprivacy.it: doc. n. 41015)
• Garante 28 settembre 2001, in Bollettino n. 22, pag. 42 (v. anche www.garanteprivacy.it: doc. n. 41949)

Non luogo a provvedere sul ricorso e compensazione delle spese

Il Garante, anche qualora ritenga di definire un ricorso ai sensi dell’art. 29 della legge
n. 675/1996 con una pronunzia di mero rito (nel caso di specie una declaratoria di non luogo a
provvedere), conserva comunque il potere discrezionale di compensare, in tutto o in parte, le
spese del procedimento.
• Garante 28 dicembre 2000, in Bollettino n. 16, pag. 10 (v. anche www.garanteprivacy.it: doc. n. 40647)

260 M a s s i m a r i o 1 9 9 7 / 2 0 0 1 • Tu t e l a a m m i n i s t r a t i v o - g i u r i s d i z i o n a l e e s a n z i o n i
Non luogo a provvedere sul ricorso e condanna alle spese

Nell’ipotesi in cui il riscontro alle richieste dell’interessato sia successivo all’invito ad ade-
rire formulato dal Garante ai sensi dell’art. 20, comma 1, del d.P.R. n. 501/1998, il titolare del trat-
tamento è tenuto al rimborso al ricorrente delle spese del procedimento definito con declarato-
ria di non luogo a provvedere.

• Garante 19 aprile 1999, in Bollettino n. 8, pag. 29 (v. anche www.garanteprivacy.it: doc. n. 41774)
• Garante 3 maggio 2001, in Bollettino n. 20, pag. 5 (v. anche www.garanteprivacy.it: doc. n. 40017)
• Garante 3 maggio 2001, in Bollettino n. 20, pag. 15 (v. anche www.garanteprivacy.it: doc. n. 41139)
• Garante 17 maggio 2001, in Bollettino n. 20, pag. 11 (v. anche www.garanteprivacy.it: doc. n. 30959)
• Garante 4 giugno 2001, in Bollettino n. 21, pag. 12 (v. anche www.garanteprivacy.it: doc. n. 40791)
• Garante 20 giugno 2001, in Bollettino n. 21, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40241)
• Garante 20 giugno 2001, in Bollettino n. 21, pag. 25 (v. anche www.garanteprivacy.it: doc. n. 41958)
• Garante 27 giugno 2001, in Bollettino n. 21, pag. 33 (v. anche www.garanteprivacy.it: doc. n. 42240)
• Garante 4 luglio 2001, in Bollettino n. 22, pag. 22 (v. anche www.garanteprivacy.it: doc. n. 39488)
• Garante 25 luglio 2001, in Bollettino n. 22, pag. 70 (v. anche www.garanteprivacy.it: doc. n. 42180)
• Garante 1 settembre 2001, in Bollettino n. 22, pag. 62 (v. anche www.garanteprivacy.it: doc. n. 38993)
• Garante 11 settembre 2001, in Bollettino n. 22, pag. 66 (v. anche www.garanteprivacy.it: doc. n. 40639)
• Garante 11 settembre 2001, in Bollettino n. 22, pag. 78 (v. anche www.garanteprivacy.it: doc. n. 39576)
• Garante 17 settembre 2001, in Bollettino n. 22, pag. 65 (v. anche www.garanteprivacy.it: doc. n. 40727)
• Garante 31 dicembre 2001, in Bollettino n. 23, pag. 126 (v. anche www.garanteprivacy.it: doc. n. 40461)

L’adesione intervenuta solo dopo l’invito ad aderire formulato dal Garante ai sensi del-
l’art. 20, comma 1 del d.P.R. n. 501/1998 alle richieste avanzate dall’interessato con il ricorso
proposto ex art. 29 della legge n. 675/1996, comporta per il titolare del trattamento il paga-
mento delle spese del procedimento definito con declaratoria di non luogo a provvedere.
• Garante 27 ottobre 1999, in Bollettino n. 10, pag. 38 (v. anche www.garanteprivacy.it: doc. n. 38937)

Nell’ipotesi in cui il riscontro alle richieste dell’interessato sia successivo all’invito ad ade-
rire formulato dal Garante ai sensi dell’art. 20, comma 1, d.P.R. n. 501/1998, il titolare del tratta-
mento è tenuto al rimborso delle spese del procedimento definito con declaratoria di non luogo
a provvedere (fattispecie relativa all’accoglimento della richiesta dell’interessato diretta ad otte-
nere la rettifica, da parte della società con la quale egli aveva stipulato un contratto per regi-
strare alcuni nomi a dominio, dei dati relativi all’assegnazione di un dominio Internet, a causa
dell’erronea indicazione, come registrant, della società e non del ricorrente).
• Garante 7 marzo 2001, in Bollettino n. 18, pag. 5 (v. anche www.garanteprivacy.it: doc. n. 39021)

RICORSO AL GARANTE > SPESE DEL PROCEDIMENTO > 261


NON LUOGO A PROVVEDERE SUL RICORSO E CONDANNA ALLE SPESE
Nell’ipotesi di riscontro non tempestivo alle richieste dell’interessato formulate con l’i-
stanza proposta ai sensi dell’art. 13 della legge n. 675/1996, il titolare del trattamento è tenuto
al rimborso al ricorrente delle spese del procedimento definito con declaratoria di non luogo a
provvedere.
• Garante 10 aprile 2001, iinedito (v. anche www.garanteprivacy.it: doc. n. 41818)

Nell’ipotesi in cui il riscontro alle richieste dell’interessato sia successivo alla presenta-
zione del ricorso proposto ai sensi dell’art. 29 della legge n. 675/1996, il titolare del trattamento
è tenuto al rimborso al ricorrente delle spese del procedimento definito con declaratoria di non
luogo a provvedere.
• Garante 12 dicembre 2001, in Bollettino n. 23, pag. 33 (v. anche www.garanteprivacy.it: doc. n. 39200)
• Garante 12 dicembre 2001, in Bollettino n. 23, pag. 124 (v. anche www.garanteprivacy.it: doc. n. 40233)
• Garante 12 dicembre 2001, in Bollettino n. 23, pag. 128 (v. anche www.garanteprivacy.it: doc. n. 42252)
• Garante 12 dicembre 2001, in Bollettino n. 23, pag. 130 (v. anche www.garanteprivacy.it: doc. n. 40915)
• Garante 19 dicembre 2001, in Bollettino n. 23, pag. 103 (v. anche www.garanteprivacy.it: doc. n. 40867)

Estinzione del procedimento


Rinunzia agli atti

La rinunzia agli atti formulata dal ricorrente determina l’estinzione del procedimento intro-
dotto ai sensi dell’art. 29 della legge n. 675/1996.
• Garante 22 maggio 2001, in Bollettino n. 20, pag. 40 (v. anche www.garanteprivacy.it: doc. n. 40529)

Alternatività della tutela dinanzi al


Garante
Ai sensi dell’art. 13 della legge n. 675/1996, l’interessato ha il diritto di chiedere diretta-
mente alle società finanziarie e agli istituti di credito quali informazioni che lo riguardano
siano state raccolte in relazione al trattamento dei dati connesso a richieste o concessioni di
finanziamenti. Nel caso di mancata risposta nel termine di cinque giorni (v. art. 29, comma 2
della legge n. 675/1996), o di rifiuto all’accesso o all’esercizio di uno degli altri diritti elencati
nel citato art. 13, l’interessato può ricorrere alla magistratura ordinaria o, alternativamente, al
Garante, con le modalità previste dall’art. 29 della legge.
• Garante 10 giugno 1998, in Bollettino n. 5, pag. 18 (v. anche www.garanteprivacy.it: doc. n. 40955)

262 M a s s i m a r i o 1 9 9 7 / 2 0 0 1 • Tu t e l a a m m i n i s t r a t i v o - g i u r i s d i z i o n a l e e s a n z i o n i
L’interessato può esercitare nei confronti del titolare o del responsabile del trattamento dei
dati i diritti previsti dall’art. 13 della legge n. 675/1996, rivolgendosi poi al Garante o, alternati-
vamente, all’Autorità giudiziaria, nel caso in cui non ottenga risposta nel termine di cinque giorni
fissato dall’art. 29, comma 2 della legge, oppure nel caso in cui gli venga precluso l’esercizio dei
suddetti diritti.
• Garante 12 ottobre 1998, in Bollettino n. 6, pag. 34 (v. anche www.garanteprivacy.it: doc. n. 40005)

Il principio di alternatività di cui all’art. 29, comma 1, della legge n. 675/1996 opera sol-
tanto tra il Garante e l’A.g.o., unica autorità avente giurisdizione sulle controversie concernenti
l’applicazione della legge n. 675/1996 e, segnatamente, sui diritti di cui all’art. 13; pertanto, ove
l’interessato abbia preventivamente esercitato il diritto d’accesso ai documenti amministrativi
innanzi al giudice amministrativo (legge n. 241/1990), non sussistono preclusioni in relazione
alla possibilità di esercitare il distinto diritto di accesso ai dati personali dinanzi al Garante o, in
via alternativa, all’A.g.o.
• Garante 7 marzo 2001, in Bollettino n. 18, pag. 32 (v. anche www.garanteprivacy.it: doc. n. 40285)

Instaurazione di un autonomo procedimento


Le pronunce emesse dal Garante ai sensi dell’art. 31, comma 1, lett. b) e c) della legge
n. 675/1996 non costituiscono atti di natura consultiva, ma provvedimenti adottati nell’esercizio
di un’attività amministrativa in virtù della quale l’Autorità, nel quadro dei poteri di vigilanza e
sulla corretta applicazione della legge, ha il compito di “controllare se i trattamenti sono effet-
tuati nel rispetto delle norme di legge e di regolamento …”, nonché la potestà di segnalare al tito-
lare o al responsabile del trattamento dei dati personali le modificazioni opportune al fine di ren-
dere quest’ultimo conforme alle disposizioni vigenti.
• Garante 30 novembre 1998, in Bollettino n. 6, pag. 105 (v. anche www.garanteprivacy.it: doc. n. 41071)

La legge n. 675/1996 ha demandato al Garante il compito di verificare la conformità dei


trattamenti dei dati svolti dagli organismi di sicurezza di cui alla legge n. 801/1977 alle disposi-
zioni di legge e di regolamento (art. 31, comma 1, lett. p) e 32, commi 6 e 7, in relazione all’art.4,
comma 1, lett. b)).
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 79 (v. anche www.garanteprivacy.it: doc. n. 42030)

La declaratoria di inammissibilità del ricorso presentato ai sensi dell’art. 29 della legge


n. 675/1996 non preclude al Garante la facoltà di avviare, sulla base delle circostanze descritte

INSTAURAZIONE DI UN AUTONOMO PROCEDIMENTO 263


dall’interessato e della documentazione acquisita, un autonomo procedimento, previsto dal-
l’art. 31, comma 1, della legge, al fine di accertare l’eventuale violazione da parte del titolare o
del responsabile del trattamento della normativa in materia di dati personali (nella specie,
l’Autorità ha avviato un procedimento per accertare le modalità con le quali sono stati diffusi da
una A.S.L. dati idonei a rivelare lo stato di salute di un dirigente medico della stessa azienda).
• Garante 9 giugno 1999, in Bollettino n. 9, pag. 42 (v. anche www.garanteprivacy.it: doc. n. 40995)

La declaratoria di inammissibilità del ricorso presentato ai sensi dell’art. 29 della legge


n. 675/1996 non preclude al Garante la facoltà di avviare, sulla base delle circostanze descritte
dall’interessato e della documentazione acquisita, un autonomo procedimento, previsto dal-
l’art. 31, comma 1, della legge, al fine di accertare l’eventuale violazione da parte del titolare o
del responsabile del trattamento della normativa in materia di dati personali (nella specie,
l’Autorità ha avviato un procedimento per accertare le modalità con le quali i dati dell’interes-
sato, acquisiti da una terza persona, sono stati divulgati mediante produzione nel giudizio civile
di separazione pendente tra l’interessato stesso e la moglie).
• Garante 9 giugno 1999, in Bollettino n. 9, pag. 45 (v. anche www.garanteprivacy.it: doc. n. 40373)

Il Garante può in ogni caso instaurare d’ufficio un autonomo procedimento per valutare la
fondatezza dei rilievi e delle segnalazioni che rinvenga in un qualunque atto comunque perve-
nuto all’Ufficio, quale che sia la sua natura.
• Garante 7 ottobre 1999, in Bollettino n. 10, pag. 63 (v. anche www.garanteprivacy.it: doc. n. 31027)

La dichiarata inammissibilità del ricorso proposto ex art. 29 della legge n. 675/1996 non
impedisce al Garante di instaurare un autonomo procedimento, ai sensi dell’art. 31, comma 1,
lett. d), al fine di verificare la conformità alle disposizioni della legge del trattamento effettuato
dal titolare.
• Garante 15 dicembre 1999, in Bollettino n. 10, pag. 41 (v. anche www.garanteprivacy.it: doc. n. 30919)

Rientra tra i compiti del Garante l’instaurazione di un procedimento ai sensi dell’art. 31,
comma 1, lett. c), della legge n. 675/1996 al fine del controllo della liceità del trattamento dei
dati personali (finalità e modalità del trattamento, consultazione dei dati, comunicazione a
terzi, conservazione e distruzione) operato da un istituto bancario attraverso la raccolta delle
impronte digitali e dell’immagine del volto dei clienti all’ingresso dei locali della banca.
• Garante 28 febbraio 2001, in Bollettino n. 17, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 40181)

Anche nell’ipotesi in cui il procedimento instaurato ai sensi dell’art. 29 della legge

264 M a s s i m a r i o 1 9 9 7 / 2 0 0 1 • Tu t e l a a m m i n i s t r a t i v o - g i u r i s d i z i o n a l e e s a n z i o n i
n. 675/1996 si concluda con dichiarazione di non luogo a provvedere, per avere il titolare dato
riscontro alle richieste dell’interessato, resta integra la facoltà del Garante di instaurare un auto-
nomo procedimento ai sensi dell’art. 31, comma 1, della legge n. 675/1996 al fine della verifica
di particolari aspetti concernenti il trattamento dei dati operato dal titolare.
• Garante 10 ottobre 2001, in Bollettino n. 23, pag. 27 (v. anche www.garanteprivacy.it: doc. n. 38997)

Segnalazioni e reclami

Al di fuori dell’ipotesi del ricorso disciplinato dall’art. 29, la legge n. 675/1996 ha previsto
la possibilità di accertare le eventuali violazioni delle prescrizioni in tema di protezione dei dati
personali anche attraverso autonome determinazioni assunte d’ufficio dal Garante, oltre che per
impulso degli interessati mediante gli strumenti della “ segnalazione” e del “reclamo” ai sensi
dell’art. 31, comma 1, lett. d) della legge (nella specie il Garante, pur dichiarando inammissibile
il ricorso presentato ai sensi dell’art. 29, ha instaurato un autonomo procedimento con riferi-
mento alla distribuzione, da parte di un Comune, agli utenti degli asili nido, di un questionario
finalizzato all’acquisizione di dati personali di varia natura).
• Garante 7 giugno 1999, in Bollettino n. 9, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 42308)

La mancanza di speciali regole per la trattazione in contraddittorio delle segnalazioni e dei


reclami (regole che sono previste invece per i ricorsi dall’art. 29 della legge n. 675/1996 e dal
d.P.R. n. 501/1998) non pregiudica le parti, le quali, per qualsiasi ipotesi di possibile violazione
della normativa a tutela dei dati personali, hanno la possibilità di introdurre, senza particolari
formalità, i necessari elementi di valutazione attraverso memorie, documenti, eventuali audi-
zioni, ecc..
• Garante 7 ottobre 1999, in Bollettino n. 10, pag. 63 (v. anche www.garanteprivacy.it: doc. n. 31027)

Al di là della specifica ipotesi del ricorso ex art. 29, è possibile rivolgersi al Garante, in
ordine a presunte violazioni della legge n. 675/1996, anche attraverso gli strumenti della segna-
lazione e del reclamo previsti dall’art. 31, comma 1, lett. d) della legge.
• Garante 26 ottobre 1999, in Bollettino n. 10, pag. 30 (v. anche www.garanteprivacy.it: doc. n. 40193)

La domanda dell’interessato volta a sollecitare l’esercizio dei poteri di accertamento e con-


trollo del Garante (nella specie, in relazione alla presunta illiceità del trattamento dei dati ed alla
violazione dell’obbligo di notificazione), ove formulata nell’ambito del procedimento di cui
all’art. 29 della legge n. 675/1996, è inammissibile, trattandosi di richiesta valutabile