Bollettino n. 16 - Gennaio 2001
annuncio pubblicitario
C ITTADINI E S OCIETË DELLÕI NFORMAZIONE B O G ARANTE L L E T T I PER LA PROTEZIONE DEI DATI PERSONALI PRESIDENZA DEL CONSIGLIO DEI MINISTRI DIPARTIMENTO PER LÕINFORMAZIONE E LÕEDITORIA N - ANNO O V- 1 GENNAIO 6 2001 C ITTADINI E S OCIETË DELLÕI NFORMAZIONE B O GARANTE L L E T T I P E R L A P RO T E Z I O N E D E I DAT I P E R S O N A L I N - A N NO O V - 1 GENNAIO 6 2001 ATTI P ROVVEDIMENTI E ATTIVITË G IORNALISTICA E' lecita la pubblicazione di dati relativi a redditi dei contribuenti Opposizione ad un trattamento relativo ad un fatto di interesse pubblico D IRITTO DI ACCESSO Accesso mediante esibizione e consegna di documenti anzichŽ tramite estrazione dati Dati personali contenuti nelle perizie medico-legali e differimento dellÕaccesso Dimostrazione dellÕidentitˆ del richiedente lÕaccesso e differimento dellÕaccesso Fotografie e dati personali Note di qualifica: diritto di accesso ai dati e diritto di accesso ai documenti F ORZE 5 8 10 12 20 23 25 DI POLIZIA Arma dei carabinieri e C.e.d. Dipartimento P.S. L AVORO 27 E PREVIDENZA SOCIALE Cartellini identificativi dei lavoratori P ROCEDIMENTO 32 RELATIVO AI RICORSI Proposizione immediata del ricorso e pregiudizio immediato ed irreparabile R ETI T ELEMATICHE E I NTERNET Cancellazione di dati su pagine web lesivi dellÕonore e della reputazione Comunicazione politica, e-mail, atti e documenti pubblici conoscibili da chiunque Informativa e consenso su pagine web ACCERTAMENTI 34 E CONTROLLI ISPETTIVI DEL 36 39 42 GARANTE Programma semestrale delle attivitˆ ispettive 44 C OMUNICATI S TAMPA INDICE Richiamo del Garante ai ministeri: gli atti emanati senza consultarci sono annullabili Trattamenti di dati personali da parte dell'Arma dei carabinieri: occorrono nuove norme per completare le garanzie per i cittadini 46 47 Le generalitˆ dellÕinteressato sono omesse nella versione pubblicata di alcuni provvedimenti, per motivi di opportunitˆ anche su richiesta del medesimo interessato (art. 16 regolamento del Garante del 28 giugno 2000). ATTIVITË G IORNALISTICA E' lecita la pubblicazione di dati relativi a redditi dei contribuenti Alcuni dati relativi a redditi dei contribuenti sono sottoposti per regolamento a forme di pubblicitˆ. La diffusione in ambito giornalistico di tali dati • pertanto lecita. IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI NELLA riunione odierna, con la partecipazione del prof. Stefano Rodotˆ, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Ugo De Siervo e dell'ing. Claudio Manganelli, componenti e del dott. Giovanni Buttarelli, segretario generale; ESAMINATO il ricorso presentato dal sig. XY nei confronti del Ministero delle finanze-Dipartimento delle entrate, ora Agenzia delle entrate; VISTA la documentazione in atti; VISTI gli articoli 13 e 29 della legge 31 dicembre 1996, n. 675 e gli articoli 18, 19 e 20 del d.P.R. 31 marzo 1998, n. 501; VISTE le osservazioni dellÕUfficio formulate dal segretario generale ai sensi dellÕart. 15 del regolamento del Garante n. 1/2000 adottato con deliberazione n. 15 del 28 giugno 2000 e pubblicato sulla Gazzetta Ufficiale della Repubblica Italiana n. 162 del 13 luglio 2000; RELATORE il prof. Stefano Rodotˆ; PREMESSO: 1. Il ricorrente lamenta che lÕAmministrazione finanziaria non avrebbe fornito un riscontro alla richiesta di blocco dei dati relativi al proprio reddito, diffusi da un quotidiano locale che li avrebbe probabilmente estratti dalla pagina web di un periodico, nella quale • stato pubblicato un elenco di 3.919 nominativi di cittadini italiani suddivisi per provincia e "riportati nei tabulati del Ministero delle finanze" (relativamente ai redditi dichiarati per lÕanno dÕimposta 1998), che il Garante per la protezione dei dati personali avrebbe autorizzato a rendere pubblici. Secondo il ricorrente, tale trattamento da parte dellÕAmministrazione finanziaria sarebbe avvenuto in violazione dellÕart. 27, comma 3, della legge n. 675/1996, in quanto la disciplina di riferimento non prevederebbe la diffusione a privati dei dati personali dei contribuenti con reddito superiore ad un certo importo. In ogni caso, qualora esista una disposizione che ne consenta il trattamento, il ricorrente intende comunque opporsi allÕulteriore trattamento dei dati ai sensi dellÕart. 13, comma 1, lett. d), della legge n. 675/1996, con riferimento sia alle pregresse dichiarazione dei redditi, sia a quelle future. Ci˜ per ragioni di sicurezza personale, ritenendo il ricorrente che la sicurezza personale e della propria famiglia potrebbe essere messa in pericolo dalla diffusione, anche via Internet, di dati relativi al proprio reddito e alla cittˆ di appartenenza, dati ritenuti non di interesse pubblico e riguardanti una persona la cui notorietˆ sarebbe invece ristretta al settore imprenditoriale e allÕambito cittadino di appartenenza. 2. A seguito dellÕinvito a fornire un riscontro formulato dal Garante, lÕAgenzia delle entrate ha evidenziato che lÕart. 69 del d.P.R. n. 600/1973 prevede espressamente la formazione di elenchi nominativi di contribuenti che hanno presentato la dichiarazione dei redditi o che esercitano imprese commerciali, arti e professioni, elenchi che sarebbero caratterizzati dallÕessere consultabili da chiunque. In questa direzione, ad avviso dellÕamministrazione, si sarebbe espresso anche il Garante con un parere del 13 ottobre 2000 (richiamato anche dallÕinteressato). Il ricorrente ha peraltro osservato che lÕart. 69, comma 4, del d.P.R. n. 600/1973 • stato modificato dallÕart. 19 della legge 30 dicembre 1991, n. 413 e che a seguito di tale modificazione la disposizione prevederebbe ora la formazione solo di un "elenco nominativo dei contribuenti che hanno presentato la dichiarazione dei redditi", senza "specificazione, per ognuno, del reddito complessivo dichiarato" (inciso, questÕultimo, eliminato dal citato art. 19). Secondo lÕinteressato, tale interpretazione sarebbe in armonia con i 5 A T T I V I T Ë G I O R N A L I S T I C A precedenti commi dellÕart. 69 (1, 2 e 3), nei quali verrebbe specificato quando devono essere pubblicati anche i redditi dei contribuenti (in caso, ad esempio, di contribuenti sottoposti ad accertamento o a controlli che non hanno presentato la dichiarazione dei redditi, o nei cui confronti sia stato accertato un maggior reddito disponibile superiore a determinate soglie). Altrimenti, in base allÕinterpretazione dellÕart. 69, comma 4, sostenuta dallÕAmministrazione finanziaria dovrebbe ritenersi -in termini non condivisi dal ricorrente- che tutti i redditi dei contribuenti, indipendentemente dallÕimporto dichiarato, siano pubblicabili. Il ricorrente ha pertanto insistito per lÕaccoglimento delle proprie richieste in quanto, a suo avviso, il proprio reddito non poteva essere reso pubblico ai sensi dellÕart. 69, commi 1, 2 e 3, del d.P.R. n. 600/1973, non essendo stato sottoposto ad alcun accertamento o risultato evasore. CIOÕ PREMESSO, IL GARANTE OSSERVA: 4. Il ricorso • infondato. Come giˆ osservato nel parere rilasciato al Ministero delle finanze il 13 ottobre 2000 (pubblicato sul sito dellÕAutoritˆ: www.garanteprivacy.it), il Garante ha ritenuto anzitutto lecita la pubblicazione dei nominativi dei contribuenti che hanno dichiarato redditi superiori ad una certa soglia, constatando anche che negli elenchi di cui il Ministero deve disporre annualmente la pubblicazione sono compresi i contribuenti che non hanno presentato la dichiarazione dei redditi o nei cui confronti sia stato accertato un maggior reddito imponibile superiore a determinate soglie (art. 69, commi 1, 2 e 3, d.P.R. n. 600/1973). Con il predetto parere il Garante ha constatato anche che in presenza della predetta base normativa, i dati possono essere poi oggetto di ulteriore circolazione a cura dei mezzi di informazione senza che sia necessario acquisire il consenso degli interessati (artt. 12 e 20 legge n. 675/1996). Nella medesima circostanza, lÕAutoritˆ ha rilevato infine che il comma 4 del citato art. 69 prevede espressamente la formazione per ciascun comune di elenchi nominativi di contribuenti che hanno presentato la dichiarazione dei redditi o che esercitano imprese commerciali, arti e professioni, elenchi da depositarsi per un anno presso gli uffici delle imposte e i comuni interessati, ai fini della consultazione da parte di chiunque. PoichŽ anche tali fonti sono destinate ad unÕampia pubblicitˆ, la pubblicazione e la divulgazione di dati da esse estratti • da ritenersi lecita anche senza il consenso degli interessati e senza che sia necessario per la testata che li riproduce dimostrare la sussistenza del requisito dellÕessenzialitˆ dellÕinformazione rispetto a fatti di interesse pubblico (art. 20, comma 1, lett. d), legge n. 675/1996). 5. Va altres“ rilevato che i termini e le modalitˆ per la formazione degli elenchi di cui al citato art. 69, comma 4, sono ora stabiliti con apposito decreto del Ministero delle finanze (v. il successivo comma 6, introdotto a seguito delle modifiche apportate dallÕart. 19 della legge n. 413 del 1991). In proposito, occorre ad esempio richiamare le disposizioni del decreto ministeriale del 5 maggio 1994, con il quale lÕAmministrazione finanziaria ha appunto disciplinato gli aspetti in esame, prevedendo che i predetti elenchi contengono i dati dichiarati dai contribuenti con specifica indicazione, in relazione alle persone fisiche, di: dati anagrafici, reddito complessivo, oneri deducibili, reddito imponibile, ecc. (v. anche il d.m. del 7 maggio 1999; occorre inoltre richiamare alcune recenti disposizioni in materia di redditi individuali, le quali stabiliscono che "la pubblicazione ed ogni informazione relative ai redditi tassati [É] deve sempre comprendere lÕindicazione dei redditi anche al netto delle imposte": v. lÕart. 24 della legge 13 maggio 1999, n. 133). Tale disciplina soddisfa i requisiti previsti dallÕart. 27, comma 3, della legge n. 675/1996, secondo cui le amministrazioni pubbliche possono divulgare dati di carattere personale di natura non sensibile solo quando la diffusione sia prevista da una norma di legge o di regolamento. Il citato art. 69 sancisce infatti una precisa scelta normativa di consultabilitˆ da parte di chiunque di determinate fonti (elenchi nominativi dei contribuenti che hanno presentato la dichiarazione dei redditi o che esercitano imprese commerciali, arti e professioni), demandando ad un d.m. la previsione solo di alcuni aspetti integrativi della fattispecie attinenti ai termini e alle modalitˆ per la formazione degli elenchi, e sono stati quindi individuati dal Ministero anche per quanto riguarda lÕindicazione dei dati reddituali. Va rilevato infine che lÕinformativa agli interessati ai sensi dellÕart. 10 della legge contenuta nel modello di dichiarazione dei redditi Ðallegata in copia al ricorso- reca giˆ lÕindicazione che i dati in possesso dellÕAmministrazione finanziaria possono essere forniti ai comuni (come avviene in attuazione del citato art. 69), indicazione alla quale questa Autoritˆ, in riferimento ai modelli di dichiarazione per il 2001, ha giˆ peraltro chiesto di aggiungere un inciso relativo alla circostanza che taluni dati possono 6 E' LECITA LA PUBBLICAZIONE DI DATI RELATIVI A REDDITI DEI CONTRIBUENTI essere pubblicati dal Ministero o presso i comuni. 6. Con riferimento a tale quadro normativo, questa Autoritˆ ritiene che le richieste del ricorrente non possano essere accolte in quanto il trattamento in esame non appare in contrasto con le disposizioni della legge n. 675/1996, essendo gli elenchi ed i dati relativi ai redditi dei contribuenti sottoposti alle forme di pubblicitˆ previste dalla menzionata disciplina normativa di riferimento in materia fiscale. NŽ, in base a tale disciplina, i motivi di opposizione evidenziati dal ricorrente, pur attentamente esaminati, non appaiono preminenti rispetto alle rilevanti finalitˆ di interesse pubblico, sottese ad una precisa scelta normativa di carattere generale volta ad introdurre un quadro di trasparenza e di circolazione di determinati dati raccolti da un soggetto pubblico in tema di dichiarazioni dei redditi e di esercizio di imprese, arti e professioni. PER QUESTI MOTIVI, IL GARANTE: ai sensi dellÕart. 29, comma 4, della legge n. 675/1996, dichiara infondato il ricorso nei termini di cui in motivazione. Roma, 17 gennaio 2001 IL PRESIDENTE Rodotˆ IL RELATORE Rodotˆ IL SEGRETARIO GENERALE Buttarelli 7 A T T I V I T Ë G I O R N A L I S T I C A Opposizione ad un trattamento relativo ad un fatto di interesse pubblico EÕ infondata una opposizione per motivi legittimi al trattamento di dati effettuato da un quotidiano quando lÕarticolo di stampa riporta brevi stralci di documenti accessibili al pubblico e descrive un fatto di interesse pubblico senza dettagli non pertinenti o lesivi della dignitˆ degli interessati. IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI NELLA riunione odierna, con la partecipazione del prof. Stefano Rodotˆ, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Ugo De Siervo e dell'ing. Claudio Manganelli, componenti e del dott. Giovanni Buttarelli, segretario generale; ESAMINATO il ricorso presentato dal sig. XY nei confronti del direttore responsabile del quotidiano LÕAdige e del relativo editore (S.I.E. s.r.l.); VISTA la documentazione in atti; VISTI gli articoli 13 e 29 della legge 31 dicembre 1996, n. 675 e gli articoli 18, 19 e 20 del d.P.R. 31 marzo 1998, n. 501; VISTE le osservazioni dellÕUfficio formulate dal segretario generale ai sensi dellÕart. 15 del regolamento del Garante n. 1/2000 adottato con deliberazione n. 15 del 28 giugno 2000 e pubblicato sulla Gazzetta Ufficiale della Repubblica Italiana n. 162 del 13 luglio 2000; RELATORE lÕing. Claudio Manganelli; PREMESSO: 1. Il ricorrente, titolare di una ditta artigiana individuale, ha lamentato che il quotidiano "lÕAdige" ha diffuso in un articolo pubblicato nellÕottobre scorso alcuni dati personali, ritenuti dal ricorrente medesimo sensibili, in asserita violazione della normativa sul trattamento dei dati personali. In tale articolo • stata riportata la notizia che alcuni consiglieri del Comune di RoverŽ della Luna hanno segnalato alla Corte dei Conti il comportamento di tale amministrazione concernente una transazione con il ricorrente relativamente al versamento di una penale contrattuale, e ci˜ per gravi motivi di salute del ricorrente medesimo. Secondo questÕultimo, il trattamento sarebbe avvenuto in violazione della legge n. 675/1996 (in particolare, per quanto concerne i dati sensibili, dellÕart. 25), in quanto i dati relativi alle generalitˆ non sarebbero essenziali ai fini del corretto esercizio del diritto di cronaca e lÕinteressato non avrebbe comunque espresso il consenso alla loro pubblicazione. Pertanto, non avendo ricevuto riscontro alle istanze avanzate nei confronti della testata, lÕinteressato ha presentato ricorso ai sensi dellÕart. 29 della legge n. 675 chiedendo al Garante di accertare lÕilliceitˆ del comportamento e di vietare ogni ulteriore trattamento dei dati. A seguito dellÕinvito a fornire un riscontro formulato da questa Autoritˆ, il direttore responsabile e lÕeditore del quotidiano hanno evidenziato che: a) lÕarticolo configurerebbe unÕipotesi di lecito esercizio dellÕattivitˆ giornalistica rispetto a fatti di interesse pubblico (riguardanti lÕamministrazione locale e la gestione di denaro pubblico) e si limiterebbe a riportare dati provenienti da documenti pubblici conoscibili da chiunque (unÕinterrogazione proposta da alcuni consiglieri comunali nei confronti del sindaco, la risposta di questÕultimo e una deliberazione di giunta comunale); b) i dati sullo stato di salute sarebbero stati resi noti dallÕinteressato per giustificare il parziale inadempimento alle proprie obbligazioni contrattuali e la richiesta di riduzione della penale; c) lÕulteriore istanza avanzata dallÕinteressato ai sensi della legge n. 675/1996 sarebbe generica ed indeterminata, non avendo consentito al quotidiano di darvi riscontro 8 OPPOSIZIONE AD UN TRATTAMENTO REL ATIVO AD UN FATTO DI INTERESSE PUBBLICO come potrebbe avvenire in caso di ulteriori, pi• precise istanze; d) qualora la richiesta del ricorrente sia diretta ad ottenere lÕinterruzione del comportamento ritenuto lesivo, la richiesta stessa dovrebbe intendersi giˆ soddisfatta essendo mancate altre pubblicazioni sullÕargomento. CIOÕ PREMESSO, IL GARANTE OSSERVA: 2. Il ricorso non • fondato. La richiesta rivolta dallÕinteressato al quotidiano prima della presentazione del ricorso • basata sulla legge n. 675/1996 e menziona le circostanze poste a fondamento del ricorso medesimo. La richiesta indica in modo generico il tipo di intervento richiesto al titolare del trattamento, attraverso lÕinvito ad assumere non meglio precisati provvedimenti opportuni per rimediare allÕasserita violazione, anche tramite pubblicazione. Tuttavia, anche in relazione al preannunciato ricorso al Garante, la medesima richiesta pu˜ essere considerata come sostanziale esercizio del diritto di opposizione per motivi legittimi al trattamento dei dati personali (v. art. 13, comma 1, lett. d). LÕopposizione si riferisce ad operazioni di trattamento giˆ effettuate, in particolare con lÕavvenuta diffusione dei dati, e va presa in considerazione anche in relazione alla possibilitˆ di unÕeventuale, successiva loro divulgazione da parte del quotidiano. In questa prospettiva va constatato che lÕarticolo riguarda una contestata vicenda amministrativoerariale e trae spunto da atti e documenti accessibili al pubblico di cui sono riportati brevi stralci tra virgolette. La vicenda riguarda un fatto di interesse pubblico relativo al corretto svolgimento dellÕattivitˆ amministrativa comunale e non • stata descritta con particolari o dettagli non pertinenti. Anche il riferimento generico ai motivi di salute dellÕinteressato -che sono la ragione della controversa riduzione della penale, contestata da alcuni consiglieri comunali- non reca particolari, dettagli, specifiche informazioni o altri dati analitici lesivi della dignitˆ dellÕinteressato. Restano ovviamente impregiudicati i diritti dellÕinteressato nei confronti di una eventuale, ulteriore utilizzazione dei dati da parte del quotidiano nel rispetto dei principi richiamati dagli artt. 20 e 25 della legge n. 675/1996, e degli artt. 5, 6 e 10 del codice di deontologia relativo al trattamento dei dati nellÕesercizio dellÕattivitˆ giornalistica. PER QUESTI MOTIVI, IL GARANTE: dichiara infondato il ricorso nei termini di cui in motivazione. Roma, 22 gennaio 2001 IL PRESIDENTE Rodotˆ IL RELATORE Manganelli IL SEGRETARIO GENERALE Buttarelli 9 D IRITTO DI ACCESSO Accesso mediante esibizione e consegna di documenti anzichŽ tramite estrazione dati LÕesibizione e/o la consegna in copia della documentazione estratta a seguito delle richieste di accesso ai dati personali presentate ai sensi dellÕart. 13 della legge n. 675/1996, possono costituire una modalitˆ di adempimento adeguata per corrispondere alle richieste dellÕinteressato, qualora la consultazione dei documenti consenta ugualmente unÕagevole comprensione dei dati personali richiesti, considerata anche la qualitˆ e la quantitˆ delle informazioni, e risulti invece particolarmente difficoltosa lÕestrazione dei dati dai documenti e la loro trasposizione su supporto cartaceo od informatico in base allÕart. 17, comma 6, del d.P.R. n. 501/1998. IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI NELLA riunione odierna, con la partecipazione del prof. Stefano Rodotˆ, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Ugo De Siervo e dell'ing. Claudio Manganelli, componenti, e del dott. Giovanni Buttarelli, segretario generale; VISTO il ricorso, regolarizzato il 30 novembre 2000, presentato dal sig. XY nei confronti di CARIPLO S.p.A., societˆ di cui lÕinteressato • dipendente, per il mancato riscontro alla propria istanza volta ad "ottenere copia di tutta la documentazione personale" detenuta dal predetto titolare del trattamento; VISTE le istanze dell'interessato del 20 settembre (priva di specifica indicazione del destinatario) e del 18 ottobre 2000, nelle quali "ai sensi e per gli effetti della legge n. 241/1990 e della legge n. 675/1996" veniva chiesta "copia di tutta la documentazione personale agli atti"; VISTI gli ulteriori atti dÕufficio e, in particolare, la nota n. 10670 del 1¡ dicembre 2000, con la quale questa Autoritˆ ha invitato CARIPLO S.p.A., ai sensi dellÕart. 20, comma 1, del d.P.R. n. 501/1998, ad aderire spontaneamente alle richieste dellÕinteressato, comunicando allo stesso i dati personali richiesti e ad inviare contestualmente allÕUfficio del Garante copia della comunicazione; VISTA la nota di risposta in data 5 dicembre 2000, con la quale CARIPLO S.p.A., in persona del capo del servizio risorse umane, ha precisato: - di aver dato riscontro alla richiesta avanzata dal sig. XY con lettera del 27 ottobre 2000; - di aver invitato l'interessato "a mettersi in contatto con il Servizio risorse umane presso il quale sarebbe stata messa a sua disposizione la documentazione contenuta agli atti"; - di conservare "sempre a disposizione del sig. XY" (che non avrebbe dato riscontro alla predetta comunicazione inviata dal Servizio risorse umane) la documentazione in questione; VISTO il fax in data 15 dicembre 2000 con il quale l'interessato, premesso che la nota di riscontro da parte di CARIPLO • pervenuta solo il 7 novembre: - ha precisato di non aver richiesto "copia della documentazione contenuta nel fascicolo personale", ma di aver chiesto (con lettera dell'8 novembre 2000) "tutta la documentazione cartacea, registrazioni, supporti magnetici, ecc. quindi tutti i dati personali in qualsiasi posto ubicati ed in qualsiasi forma conservati", nonchŽ copia dell'assenso al trattamento dei dati sensibili; - ha confermato le proprie richieste, giˆ formulate in sede di ricorso, ed ha chiesto la condanna di CARIPLO S.p.A. alle spese, nonchŽ la pubblicazione del provvedimento su alcuni quotidiani e una ispezione del Garante "per verificare la scrupolosa osservanza della normativa". RILEVATO che con il ricorso ai sensi dell'art. 29 della legge n. 675 possono essere fatti valere solo i diritti di cui all'art. 13, comma 1, della medesima legge rispetto ai quali sia stata precedentemente proposta istanza al titolare del trattamento; 10 ACCESSO MEDIANTE ESIBIZIONE E CONSEGNA DI DOCUMENTI ANZICHƒ TRAMITE ESTRAZIONE DATI PRECISATO che il diritto tutelato dall'art. 13 della legge n. 675 ha quindi caratteri peculiari e non deve essere confuso con il diverso diritto di accesso ad atti e documenti previsto dalla legge n. 241 del 1990; CONSIDERATO che lÕestrazione dei dati oggetto di richiesta di accesso deve avvenire a cura del responsabile o degli incaricati del trattamento e che la loro successiva prospettazione allÕinteressato pu˜ avvenire in vario modo (art. 17, comma 6, d.P.R. n. 501/1998); RILEVATO che l'interessato pu˜ chiedere di accedere ai propri dati personali, ma non pu˜, di regola, invocando il medesimo art. 13, ottenere copia integrale degli atti, delle relazioni o di altri documenti contenenti tali dati; CONSIDERATO che lÕesibizione e/o la consegna in copia della documentazione estratta a seguito delle richieste di accesso ai dati personali presentate ai sensi dellÕart. 13 della legge n. 675/1996, possono costituire, come il Garante ha pi• volte precisato (vedi ad esempio il provvedimento del 7 ottobre 1999 pubblicato in Bollettino 10, pag. 63), una modalitˆ di adempimento adeguata per corrispondere alle richieste dellÕinteressato, qualora la consultazione dei documenti consenta ugualmente unÕagevole comprensione dei dati personali richiesti, considerata anche la qualitˆ e la quantitˆ delle informazioni, e risulti invece particolarmente difficoltosa lÕestrazione dei dati dai documenti e la loro trasposizione su supporto cartaceo od informatico in base allÕart. 17, comma 6, del d.P.R. n. 501/1998; PRESO ATTO che CARIPLO S.p.A. ha manifestato la propria disponibilitˆ a consentire la consultazione del complesso dei dati personali richiesti dallÕinteressato secondo modalitˆ che appaiono idonee a rispettare il diritto dell'interessato e le esigenze organizzative del titolare del trattamento, considerato anche il fatto che le istanze del ricorrente sono state configurate come generiche richieste di accedere al complesso di una non meglio individuata documentazione personale riferita alla sua persona e che non sono pervenute richieste pi• specifiche in ordine a particolari tipi di dati o di trattamenti; CONSIDERATO che allo stato non emergono profili che giustifichino l'attivazione di ulteriori verifiche da parte del Garante di cui all'art. 31 della legge n. 675, che pure potranno essere attivate in presenza di pi• circostanziate segnalazioni; RITENUTA, per questi motivi, la necessitˆ di dichiarare non luogo a provvedere; RITENUTO, alla luce delle osservazioni formulate in ordine alle modalitˆ di esercizio dei diritti da parte dell'interessato ed al tipo di riscontro fornito dal titolare del trattamento, che le spese del procedimento debbano essere compensate fra le parti; VISTE le osservazioni formulate dal segretario generale ai sensi dellÕart. 15 del regolamento del Garante n. 1/2000 adottato con deliberazione n. 15 del 28 giugno 2000 e pubblicato sulla Gazzetta ufficiale della Repubblica Italiana n. 162 del 13 luglio 2000; VISTI gli articoli 13 e 29 della legge 31 dicembre 1996, n. 675 e gli articoli 18, 19 e 20 del d.P.R. 31 marzo 1998, n. 501; RELATORE il prof. Ugo De Siervo; TUTTO CIOÕ PREMESSO, IL GARANTE DICHIARA: a) ai sensi dellÕart. 20, comma 1, del d.P.R. n. 501/1998, non luogo a provvedere sul ricorso, nei termini di cui in motivazione; b) le spese del procedimento compensate fra le parti. Roma, 28 dicembre 2000 IL PRESIDENTE Rodotˆ IL RELATORE De Siervo IL SEGRETARIO GENERALE Buttarelli 11 D I R I T T O D I A C C E S S O Dati personali contenuti nelle perizie medico-legali e differimento dellÕaccesso Il Garante conferma nuovamente che le perizie medico-legali in ambito assicurativo possono contenere dati personali anche nella parte in cui il perito svolge alcune valutazioni soggettive relative allÕinfortunato. Questi dati sono quindi accessibili allÕinteressato ai sensi dellÕart. 13 della legge n.675/1996. Tuttavia, in alcuni casi lÕesercizio del diritto pu˜ essere temporaneamente differito se lÕaccesso pu˜ determinare un effettivo pregiudizio al diritto di difesa, pregiudizio che deve essere valutato caso per caso sulla base di concreti elementi forniti dal titolare del trattamento. IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI In data odierna, con la partecipazione del prof. Stefano Rodotˆ, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Ugo De Siervo, e dellÕing. Claudio Manganelli, componenti e del dott. Giovanni Buttarelli, segretario generale; esaminato il ricorso presentato dal Sig. Ruggero Perusini rappresentato e difeso dallÕavv. Marco Pescarollo, presso il cui studio sito in Treviso • elettivamente domiciliato; nei confronti di SARA Assicurazioni S.p.A.; VISTA la documentazione in atti; VISTE le osservazioni formulate dal segretario generale ai sensi dellÕart. 15 del regolamento del Garante n. 1/2000 adottato con deliberazione n. 15 del 28 giugno 2000 e pubblicato sulla Gazzetta Ufficiale della Repubblica Italiana n. 162 del 13 luglio 2000; RELATORE il prof. Ugo De Siervo; PREMESSO: Il ricorrente lamenta di non avere ricevuto un positivo riscontro alla richiesta di accesso ai propri dati personali, formulata ai sensi dellÕart. 13 della legge n. 675, con la quale aveva chiesto di ottenere copia della perizia medico legale redatta dalla dott.ssa Letizia Pirrami, fiduciaria di SARA Assicurazioni S.p.A. Ad avviso dell'interessato "la compagnia assicuratrice deve eseguire la richiesta dell'interessato di accedere in maniera integrale fornendo in forma agevolmente comprensibile i dati personali contenuti nei giudizi e nelle valutazioni espresse". Il ricorrente chiede quindi che l'Autoritˆ "voglia ordinare alla compagnia SARA Assicurazioni S.p.A. [É] di produrre immediatamente la copia" della perizia medico legale in questione. AllÕinvito ad aderire spontaneamente a tali richieste, formulato il 7 dicembre 2000 ai sensi dellÕart. 20 del d.P.R. n. 501/1998, SARA Assicurazioni S.p.A. ha risposto con nota del 14 dicembre 2000, confermando il diniego opposto allÕistanza di accesso (giˆ manifestato con lettere del 26 aprile e del 6 giugno 2000 con le quali era stata riscontrata l'istanza ex art. 13 dell'interessato) e sostenendo, tra lÕaltro, che: - 12 il Garante, in occasione di altre decisioni concernenti analoghe richieste di accesso ai dati personali contenuti in perizie medico legali, avrebbe applicato l'art. 14, comma 1, lettera e), della legge n. 675/1996, "limitatamente al periodo durante il quale potrebbe derivarne pregiudizio per lo svolgimento" delle investigazioni difensive o per l'esercizio dei diritti di cui all'art. 12, comma 1, lettera h), della medesima legge; DATI P E R S O N A L I C O N T E N U T I N E L L E P E R I Z I E M E D I C O - L E G A L I E D I F F E R I M E N T O D E L LÕAC C E S S O - la particolare fattispecie prevista dal citato art. 14 dovrebbe intendersi estesa anche alla "fase costitutiva del diritto alla difesa svolta in sede stragiudiziale, necessariamente propedeutica ad una eventuale difesa in giudizio"; - "nel caso di specie, non avendo avuto buon esito la trattativa in corso per la definizione della vertenza, si • venuta a creare una situazione di conflittualitˆ tra la societˆ e l'assicurato, tale da rendere altamente probabile l'instaurarsi di una causa civile". Tali eccezioni sono state precisate con memoria del 18 dicembre 2000, nella quale • stato sottolineato come, in ordine al sinistro in relazione al quale si • originata la vicenda, siano "sorte contestazioni sia in merito alla data effettiva del verificarsi dell'infortunio, sia in merito alla preesistenza o meno della patologia rispetto alla stipula della polizza". Da tale situazione si originerebbe automaticamente il grave pregiudizio che SARA Assicurazioni S.p.A. subirebbe nell'ipotesi in cui "fosse condannata ad esibire copia della perizia". il Infine, il ricorrente ha fornito ulteriori elementi di valutazione con memoria anticipata via fax 18 dicembre 2000. In tale nota • evidenziato che: - SARA Assicurazioni S.p.A. non avrebbe chiesto, ai sensi dell'art. 11 della legge n. 675, il consenso del sig. Perusini "circa il trattamento dei dati personali dell'interessato", nŽ indicherebbe nella polizza infortuni o nelle relative condizioni generali le figure del titolare e del responsabile del trattamento; - attese le modalitˆ con le quali si svolse la visita medico legale in questione, esiste il "dubbio circa l'esistenza di tale periziaÉ" e pertanto il Garante dovrebbe ordinarne "in via preliminare" l'esibizione; - ritenere applicabile nel caso di specie il citato art. 14 della legge n. 675 significherebbe "sacrificare il diritto alla tutela della riservatezza del ricorrente, lasciare che tali dati vengano indebitamente usati dalla compagnia assicurativa anche in maniera a lui sfavorevoleÉ creare un pregiudizio economico" all'interessato medesimo. CIOÕ PREMESSO IL GARANTE OSSERVA: Il ricorso verte, come detto, sul diritto di accesso ai dati personali contenuti nell'ambito di una perizia medico legale. Tali perizie (secondo quanto giˆ precisato da questa Autoritˆ in varie decisioni e, in particolare, nei provvedimenti del 21 giugno e del 13 ottobre 1999, pubblicate nel Bollettino del Garante n. 11/12, pagg. 61-69), possono comprendere dati personali dellÕinteressato sia nelle parti dove vengono riportati dati identificativi (nonchŽ riscontri di visite mediche e di cd. esami obiettivi), sia nella parte conclusiva che comprende, spesso, valutazioni del perito relative allÕinteressato. Si tratta infatti di un complesso di informazioni che, pur nella sua eterogeneitˆ, fornisce un insieme di elementi informativi, diretti e indiretti, sul soggetto interessato, sulle sue eventuali patologie, sul rapporto fra esse ed altri eventi di vita del medesimo, ecc. Tra queste informazioni figurano diversi dati personali, il trattamento dei quali ricade nellÕambito di applicazione della legge n. 675. Va a questo punto esaminata la possibilitˆ di applicare (secondo quanto ipotizzato da SARA Assicurazioni S.p.A.) lÕart. 14, comma 1, lettera e), della legge n. 675, che prevede il temporaneo differimento dellÕesercizio dei diritti previsti dallÕart. 13, limitatamente al periodo durante il quale potrebbe derivarne pregiudizio per lo svolgimento delle c.d. "indagini difensive" o, comunque, per far valere o difendere un diritto in sede giudiziaria. Come il Garante ha avuto modo di precisare pi• volte, la valutazione dell'esistenza di un effettivo pregiudizio ai sensi del citato art. 14, comma 1, lettera e), deve essere effettuata caso per caso e sulla base di concreti elementi forniti dal titolare del trattamento. Tale pregiudizio pu˜ sorgere anche in caso di una specifica situazione precontenziosa suscettibile di sfociare a breve in una controversia giudiziaria e che, pertanto, rende necessario non pregiudicare la posizione delle parti in ordine alle deduzioni istruttorie concernenti, in particolare, la data effettiva dellÕinfortunio e la preesistenza di una patologia rispetto alla stipula della polizza. 13 D I R I T T O D I A C C E S S O Tale situazione rende quindi legittimo un differimento del diritto di accesso ai sensi del citato art. 14, limitatamente ai profili valutativi contenuti nella relazione e con specifico riferimento ai giudizi espressi dal medico fiduciario di SARA Assicurazioni S.p.A. Tale limitazione • solo temporanea ed • collegata all'esercizio del diritto di difesa. Cessata, quindi, la predetta situazione, il diritto di accesso pu˜ essere nuovamente esercitato e i dati devono essere integralmente comunicati all'interessato che li richieda. Come ricordato nei richiamati provvedimenti del Garante, il citato art. 14 non pu˜ invece essere applicato ai dati di tipo identificativo, o aventi carattere oggettivo o comunque non incidenti sulle specifiche ragioni di tutela prospettate dal titolare del trattamento. Per tali tipi di dati il diritto di accesso ex art. 13 deve considerarsi pienamente operante. Va infine ricordato che con lo strumento del ricorso ex art. 29 possono essere fatti valere solo gli specifici diritti tutelati dall'art. 13 della legge n. 675. Per ulteriori profili riguardanti la presunta violazione di altre disposizioni della legge sulla protezione dei dati personali, che possono essere fatti valere con segnalazioni o reclami ai sensi dell'art. 31 della legge medesima o costituire oggetto di autonomi accertamenti da parte di questa Autoritˆ, il Garante provvederˆ sulla base di separata richiesta di informazioni ai sensi dellÕart. 31 della legge 675/1996. PER QUESTI MOTIVI IL GARANTE: a) accoglie il ricorso per quanto concerne la richiesta di conoscere i dati identificativi e gli altri eventuali elementi informativi di tipo obiettivo contenuti nella relazione medico-legale; b) ordina al titolare del trattamento (SARA Assicurazioni S.p.A.) di corrispondere in tal senso alla richiesta dellÕinteressato, entro lÕ1 febbraio 2001, dando conferma di tale adempimento entro la stessa data all'Ufficio del Garante; c) rigetta il ricorso per quanto attiene alla richiesta di accedere ai dati e alle valutazioni contenute nella relazione del medico fiduciario della societˆ resistente, nei termini di cui in motivazione. Roma, 28 dicembre 2000 IL PRESIDENTE Rodotˆ IL RELATORE De Siervo IL SEGRETARIO GENERALE Buttarelli 14 DATI P E R S O N A L I C O N T E N U T I N E L L E P E R I Z I E M E D I C O - L E G A L I E D I F F E R I M E N T O D E L LÕAC C E S S O IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI NELLA riunione odierna, con la partecipazione del prof. Stefano Rodotˆ, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Ugo De Siervo e dell'ing. Claudio Manganelli, componenti e del dott. Giovanni Buttarelli, segretario generale; ESAMINATO il ricorso presentato dal sig. Franco Del Rio nei confronti dello Studio Tecnico di Infortunistica Marino e Associati e del sig. Alessandro Bertelli; VISTA la documentazione in atti; VISTI gli articoli 13 e 29 della legge 31 dicembre 1996, n. 675 e gli articoli 18, 19 e 20 del d.P.R. 31 marzo 1998, n. 501; VISTE le osservazioni dellÕUfficio formulate dal segretario generale ai sensi dellÕart. 15 del regolamento del Garante n. 1/2000 adottato con deliberazione n. 15 del 28 giugno 2000 e pubblicato sulla Gazzetta Ufficiale della Repubblica Italiana n. 162 del 13 luglio 2000; RELATORE il prof. Giuseppe Santaniello; PREMESSO: 1. Il ricorrente lamenta di non aver ricevuto riscontro ad unÕistanza formulata ai sensi dellÕart. 13 della legge n. 675/1996, con la quale ha chiesto allo Studio Tecnico di Infortunistica Marino e Associati e al perito assicurativo sig. Alessandro Bertelli di: a) confermare lÕesistenza o meno di dati personali riferiti ad una perizia (eseguita per conto di una societˆ di assicurazioni) dei danni subiti dallÕinteressato in un precedente sinistro stradale; b) comunicare i medesimi dati, la loro origine, la logica e le finalitˆ del trattamento; c) cancellare i dati di cui non sarebbe necessaria la conservazione in relazione agli scopi per i quali sono stati raccolti e successivamente trattati. Nel ricorso ai sensi dell'art. 29 della legge n. 675/1996 lÕinteressato ha chiesto al Garante di disporre per lÕaccoglimento delle proprie richieste. Ha chiesto, inoltre, di verificare la liceitˆ del trattamento svolto dai resistenti, anche con riferimento allÕobbligo di notificazione dei trattamenti. 2. A seguito dellÕinvito a fornire un riscontro formulato da questa Autoritˆ, lo studio di infortunistica ha comunicato al ricorrente di non essere pi• in possesso di dati che lo riguardano, avendo inviato tutta la documentazione riferita al sinistro in questione alla competente societˆ di assicurazioni. Dal canto suo, il perito ha confermato allÕinteressato di aver cancellato dalla documentazione in proprio possesso i dati a lui riferiti (a seguito della richiesta ai sensi dellÕart. 13 della legge n. 675). Entrambe le parti resistenti hanno inoltre fornito alcune indicazioni sullÕorigine, sulle modalitˆ e sulle finalitˆ del pregresso trattamento dei dati del ricorrente. Tali indicazioni sono state riprese ed integrate nelle memorie difensive, anche in riferimento alla liceitˆ del trattamento svolto e alla notificazione al Garante. Nelle memorie, i resistenti hanno poi eccepito lÕinammissibilitˆ o lÕimprocedibilitˆ del ricorso, in quanto il ricorrente avrebbe presentato un esposto alla Procura della Repubblica presso il Tribunale di La Spezia sulla vicenda oggetto del ricorso. Il ricorrente, nel contestare lÕeccezione di inammissibilitˆ del ricorso, ha infine rilevato che le risposte fornite, oltre che tardive, sarebbero "sospette e di comodo", poichŽ il trattamento avrebbe riguardato dati ulteriori rispetto a quelli contenuti nella relazione tecnica sui danni subiti dalla propria autovettura (in particolare, sarebbero state raccolte e trasmesse alla societˆ di assicurazioni alcune informazioni sui rapporti di parentela dellÕinteressato con la persona danneggiata, il che, secondo il ricorrente, non rientrerebbe tra i compiti dei periti assicurativi). CIOÕ PREMESSO, IL GARANTE OSSERVA: 3. In via preliminare, lÕeccezione di inammissibilitˆ o improcedibilitˆ del ricorso non • fondata in quanto il ricorso ai sensi dellÕart. 29 della legge n. 675/1996, quale quello in esame, ha per oggetto esclu15 D I R I T T O D I A C C E S S O sivamente la tutela dei diritti di cui allÕart. 13 della stessa legge, mentre lÕesposto presentato dal ricorrente presso la Procura di La Spezia (che pure • diretto a far svolgere accertamenti su alcune circostanze segnalate nel ricorso) non riguarda i diritti sanciti da tale articolo e non preclude la proposizione del ricorso al Garante ai sensi dellÕart. 29 della medesima legge. Il ricorso • pertanto ammissibile. 4. Nel merito, deve essere dichiarato non luogo a provvedere sul ricorso per quanto riguarda le richieste formulate dal ricorrente ai sensi dell'art. 13 della legge n. 675/1996. Ci˜ sulla base delle risposte fornite nelle quali i resistenti hanno confermato lÕinesistenza di dati relativi alla persona dellÕinteressato e hanno fornito indicazioni in ordine alle principali caratteristiche del trattamento dei dati precedentemente svolto. In particolare, mentre il perito ha confermato di aver cancellato dalla documentazione in proprio possesso i dati del ricorrente, a seguito della richiesta avanzata da questÕultimo (e di avere omesso di dargliene notizia per un mero disguido), lo studio di infortunistica ha dichiarato di non essere pi• in possesso di dati che lo riguardano e di avere consegnato lÕincartamento riferito allÕinteressato alla competente societˆ di assicurazioni. Sono invece inammissibili in questa sede, in quanto non possono essere prese in considerazione nellÕambito dellÕodierno procedimento attivato ai sensi dellÕart. 29 della legge n. 675/1996, le richieste del ricorrente dirette non tanto a far valere i diritti previsti dallÕart. 13 della stessa legge, quanto a sollecitare lÕesercizio dei poteri di accertamento e di controllo del Garante in relazione alla presunta illiceitˆ del trattamento dei dati precedentemente svolto dalle parti resistenti ed al mancato rispetto dellÕobbligo di notificazione al Garante. Tali richieste potranno essere esaminate da questa Autoritˆ in un distinto procedimento ai sensi degli artt. 31 e 32 della legge n. 675, sulla base, per˜, di una puntuale e documentata rappresentazione di specifici comportamenti e fatti, rappresentazione che non • ravvisabile negli atti giˆ acquisiti (i quali, peraltro, farebbero riferimento a circostanze del tutto controverse tra le parti e giˆ sottoposte allÕattenzione dellÕautoritˆ giudiziaria penale), tenendo presente le indicazioni fornite dai resistenti in ordine ai rapporti con la societˆ di assicurazioni ed alla titolaritˆ del trattamento dei dati, nonchŽ alle eventuali cause di esonero dallÕobbligo di notificazione. PER QUESTI MOTIVI IL GARANTE: a) dichiara, ai sensi dellÕart. 20, comma 1, del d.P.R. n. 501/1998, non luogo a provvedere sul ricorso per quanto riguarda le richieste formulate dal ricorrente ai sensi dell'art. 13 della legge n. 675/1996; b) inammissibile il ricorso per quanto riguarda le altre richieste avanzate dall'interessato, nei termini di cui in motivazione. Roma, 28 Dicembre 2000 IL PRESIDENTE Rodotˆ IL RELATORE Santaniello IL SEGRETARIO GENERALE Buttarelli 16 DATI P E R S O N A L I C O N T E N U T I N E L L E P E R I Z I E M E D I C O - L E G A L I E D I F F E R I M E N T O D E L LÕAC C E S S O Il diritto di accesso ai dati di cui all'art. 13 pu˜ essere oggetto di un differimento temporaneo nel periodo durante il quale potrebbe derivarne pregiudizio per investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria. La valutazione di tale pregiudizio deve essere effettuata caso per caso e di esso il titolare del trattamento deve fornire adeguata motivazione. IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI In data odierna, con la partecipazione del prof. Stefano Rodotˆ, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Ugo De Siervo e dellÕing. Claudio Manganelli componenti, e del dott. Giovanni Buttarelli, segretario generale; ESAMINATO il ricorso presentato dal sig. Franco Gianazza nei confronti della Royal International Insurance Holding Ltd; VISTA la documentazione in atti; VISTE le osservazioni dellÕUfficio formulate dal segretario generale ai sensi dellÕart. 15 del regolamento del Garante n. 1/2000 adottato con deliberazione n. 15 del 28 giugno 2000 e pubblicato sulla Gazzetta Ufficiale della Repubblica Italiana n. 162 del 13 luglio 2000; RELATORE l'ing. Claudio Manganelli; PREMESSO: 1. Il ricorrente lamenta di non aver ricevuto riscontro ad una richiesta avanzata ai sensi dell'art. 13 della legge n. 675/1996 volta ad ottenere comunicazione delle valutazioni medico legali espresse dal consulente sanitario di fiducia della societˆ resistente, nell'ambito di una perizia volta a quantificare il danno sub“to dal ricorrente a seguito di un sinistro. In mancanza di risposta l'interessato ha presentato ricorso al Garante ai sensi dell'art. 29 della legge n. 675/1996, nel quale ha ribadito la propria richiesta, diretta ad ottenere la comunicazione delle predette valutazioni. A seguito dell'invito ad aderire formulato dal Garante la societˆ ha fatto presente che il 4 u.s. le • stato notificato un atto di citazione per una udienza del 23 marzo 2001. In considerazione della controversia instaurata dall'interessato la comunicazione dell'esito della perizia medica in questione potrebbe quindi arrecare un grave pregiudizio all'impianto difensivo della societˆ "se in questa fase processuale introduttiva fosse costretta a comunicare informazioni sicuramente rivelatrici dei mezzi istruttori che saranno richiesti ed eventualmente ammessi dal giudice in corso di causa". La societˆ ha invocato quindi il temporaneo differimento del diritto di accesso ai sensi dell'art. 14, comma 1 lettera e), della legge 675/1996 in relazione alle "informazioni di carattere soggettivo e valutativo costituiranno oggetto di prova nel corso del giudizio", richiamando alcuni provvedimenti di questa Autoritˆ. Il ricorrente ha rilevato invece che la comunicazione del risultato della consulenza tecnica non arrecherebbe il predetto pregiudizio essendo prassi delle societˆ assicurative depositare la perizia medico legale "in allegato al primo atto difensivo". PER QUESTI MOTIVI IL GARANTE OSSERVA: 2. Vanno preliminarmente richiamate le considerazioni formulate dal Garante in vari provvedimenti circa i peculiari connotati del diritto tutelato dall'art. 13, comma 1, lettera c), n. 1, della legge n. 675/1996, che non deve essere confuso con il diverso diritto di accesso ad atti e a documenti. In particolare, va ricordato che l'interessato ha diritto di accedere ai propri dati personali, ma non pu˜ chiedere, invocando il medesimo art. 13, di ottenere copia integrale degli atti o di altri documenti contenenti tali dati. Solo quando l'estrazione dei dati risulti particolarmente difficoltosa, l'adempimento della richiesta di accesso pu˜ avvenire anche tramite la modalitˆ dell'esibizione e/o della consegna in copia della documentazione, secondo quanto giˆ precisato da questa Autoritˆ (vedi tra l'altro, i provvedimenti del 21 giugno e del 13 ottobre 1999, in tema di accesso alle perizie medico - legali nel settore assicurativo, pubblicate nel Bollettino del Garante n. 11/12, pagg. 61 - 69 e sul sito web del Garante 17 D I R I T T O D I A C C E S S O www.garanteprivacy.it). L'odierno ricorso, per la parte relativa alle richieste dirette ad ottenere copia integrale della perizia medico-legale, pu˜ essere per˜ preso utilmente in considerazione come esercizio del diritto di conoscere i dati contenuti nella perizia stessa, ivi compresi i giudizi e le valutazioni espressi dal medico di fiducia della societˆ. 3. Per quanto concerne lÕaccesso ai dati relativi allo stato di salute, vanno richiamate le considerazioni formulate nei citati provvedimenti che devono intendersi riprese come parte integrante della presente motivazione per quanto riguarda: a) la ricomprensione nel concetto di dato personale delle informazioni contenute nelle perizie medico-legali, espresse in forma di valutazioni o giudizi espressi sullÕinvaliditˆ o sullÕinabilitˆ del ricorrente; b) lÕapplicazione nei loro confronti della legge n. 675; c) la possibilitˆ di applicare, in rapporto a tali informazioni, lÕart. 14, comma 1, lettera e) della legge n. 675, che prevede il temporaneo differimento dellÕesercizio dei diritti previsti dallÕart. 13, limitatamente al periodo durante il quale potrebbe derivarne pregiudizio per investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria. Come il Garante ha giˆ precisato la valutazione di tale pregiudizio deve essere effettuata caso per caso e di esso il titolare del trattamento deve fornire adeguata motivazione. Il titolare deve quindi fornire adeguata motivazione del pregiudizio che potrebbe derivare dallÕaccoglimento dellÕistanza di accesso. Nel caso di specie tale motivazione • stata fornita in relazione alla circostanza che nello stesso atto di citazione l'interessato ha chiesto una consulenza tecnica d'ufficio. In relazione a tale aspetto appare necessario non turbare tale momento processuale e le deduzioni della parte in ordine alla consulenza stessa. In particolare la societˆ di assicurazioni ha fatto presente di volersi avvalere del disposto di cui allÕart. 14 in quanto in relazione al sinistro in questione, l'interessato ha recentemente instaurato una causa, ("con la prima udienza fissata per il 23 marzo" p.v.), e ha dichiarato in proposito che la comunicazione di dati contenuti nelle valutazioni mediche all'interessato arrecherebbe un pregiudizio alle modalitˆ di esibizione delle prove da parte della compagnia assicuratrice ledendo il proprio diritto alla difesa. Tale situazione rende pertanto legittimo un temporaneo differimento del diritto d'accesso ai sensi del citato art. 14, limitatamente ai profili valutativi contenuti nella relazione e con particolare riferimento alle valutazioni soggettive del perito fiduciario della societˆ resistente. Cessate quindi le esigenze di tutela cui lÕart. 14 fa riferimento, il diritto di accesso pu˜ riespandersi e, pertanto i dati dovranno essere integralmente comunicati all'interessato che li richieda. Il citato art. 14 non pu˜ applicarsi, come peraltro ricordato nei provvedimenti sopra citati, ai dati personali del soggetto interessato di tipo identificativo, o aventi carattere oggettivo o comunque non incidenti sulle specifiche ragioni di tutela prospettate dal titolare del trattamento. Per tali tipi di dati il diritto di accesso ex art. 13 deve considerarsi pienamente operante. PER QUESTI MOTIVI IL GARANTE: a) accoglie il ricorso per quanto concerne la richiesta di conoscere i dati identificativi e gli altri eventuali elementi informativi di tipo obiettivo contenuti nella relazione medico-legale; b) ordina al titolare del trattamento di corrispondere in tal senso alla richiesta dell'interessato, entro il 12 febbraio 2001, dando conferma di tale adempimento entro la stessa data all'Ufficio del Garante; c) rigetta il ricorso per quanto attiene alla richiesta di accedere alle valutazioni conte18 DATI P E R S O N A L I C O N T E N U T I N E L L E P E R I Z I E M E D I C O - L E G A L I E D I F F E R I M E N T O D E L LÕAC C E S S O nute nella relazione del medico fiduciario della societˆ resistente, nei termini di cui in motivazione. Roma, 22 gennaio 2001 IL PRESIDENTE Rodotˆ IL RELATORE Manganelli IL SEGRETARIO GENERALE Buttarelli 19 D I R I T T O D I A C C E S S O Dimostrazione dellÕidentitˆ del richiedente lÕaccesso e differimento dellÕaccesso LÕidentitˆ di chi chiede di accedere ai propri dati pu˜ essere dimostrata con adeguate circostanze come la conoscenza personale, anche diverse dallÕesibizione di un documento. LÕaccesso pu˜ essere temporaneamente differito in specifiche situazioni pre-contenziose (caso dellÕespletamento della perizia contrattuale). IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI In data odierna, con la partecipazione del prof. Stefano Rodotˆ, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Ugo De Siervo, e dellÕing. Claudio Manganelli, componenti e del dott. Giovanni Buttarelli, segretario generale; esaminato il ricorso presentato dal Sig. Guido Lorenzo; nei confronti di Assicurazioni Generali S.p.A. rappresentata e difesa dagli avv.ti Riccardo e Rosario Imperiali presso il cui studio sito in Napoli • elettivamente domiciliata; VISTA la documentazione in atti; VISTE le osservazioni formulate dal segretario generale ai sensi dellÕart. 15 del regolamento del Garante n. 1/2000 adottato con deliberazione n. 15 del 28 giugno 2000 e pubblicato sulla Gazzetta Ufficiale della Repubblica Italiana n. 162 del 13 luglio 2000; RELATORE l'ing. Claudio Manganelli; IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Il ricorrente lamenta di non avere ricevuto un positivo riscontro alla richiesta di accesso ai propri dati personali formulata ai sensi dellÕart. 13 della legge n. 675, con la quale aveva chiesto di ottenere "l'esibizione integrale ed in forma agevolmente comprensibile delle valutazioni, di tutti gli elementi di giudizio, anche di tipo sensibile, contenuti nella perizia medico-legale redatta" dal medico di fiducia di Assicurazioni Generali S.p.A. Il ricorrente chiede quindi che l'Autoritˆ imponga al citato titolare del trattamento l'esibizione integrale delle predette valutazioni. AllÕinvito ad aderire spontaneamente a tali richieste, formulato il 21 dicembre 2000 ai sensi dellÕart. 20 del d.P.R. n. 501/1998, Assicurazioni Generali S.p.A. ha risposto con nota in data 28 dicembre 2000, sostenendo che: - l'interessato avrebbe rifiutato "la migliore offerta della Compagnia"; - le condizioni di polizza, in caso di divergenza sulla natura o sulle conseguenze delle lesioni o sul grado di invaliditˆ permanente, obbligherebbero le parti a conferire mandato di decidere ad un collegio arbitrale; - attesa tale situazione, si renderebbe applicabile l'art. 14, comma 1, lettera e), della legge n. 675 in tema di differimento del diritto di accesso ai dati. Tali eccezioni sono state precisate con memoria depositata il 10 gennaio 2001, illustrata in sede di audizione presso l'Ufficio del Garante. In essa si evidenzia che: 20 - la richiesta di accesso ai dati personali non sarebbe stata formulata nel rispetto dell'art. 17 del d.P.R. n. 501/1998 "non essendo stata accompagnata" da un documento di riconoscimento; - tale richiesta avrebbe poi ad esclusivo oggetto le "valutazioni" e gli "altri elementi di giudizio" formulati dal perito di fiducia della societˆ; - tali elementi di tipo valutativo, "in quanto tali, non sono in alcun modo suscettibili di richiesta di correzione da parte del periziato [...] non potendo il periziato correggere [...] le opinioni legittimamente espresse dal medico fiduciario"; - pertanto, verrebbe meno la ratio sottesa al diritto di accesso disciplinato dall'art. 13 DIMOSTRAZIONE D E L LÕ I D E N T I TË D E L R I C H I E D E N T E LÕAC C E S S O E D I F F E R I M E N T O D E L LÕAC C E S S O della legge n. 675 ed il ricorso non potrebbe trovare accoglimento; - in ogni caso, atteso che la polizza, in caso di divergenza sulle conseguenze attribuibili all'infortunio, prevede il deferimento della vertenza ad un collegio medico arbitrale, si applicherebbe comunque il citato art. 14, comma 1, lettera e), della legge n. 675. CIOÕ PREMESSO IL GARANTE OSSERVA: LÕeccezione di inammissibilitˆ del ricorso • infondata. L'art. 17, comma 2, del d.P.R. n. 501/1998 precisa che "l'interessato deve dimostrare la propria identitˆ, anche esibendo o allegando copia di un documento di riconoscimento". L'esibizione di un documento di riconoscimento • dunque una delle possibili modalitˆ di dimostrazione dell'identitˆ personale, nŽ esclusiva, nŽ obbligatoria, essendo sufficiente appurare lÕidentitˆ personale anche attraverso altre adeguate circostanze quale tra lÕaltro la conoscenza personale. Nel caso di specie, la richiesta di accesso ai dati • stata rivolta da un assicurato destinatario di una precedente proposta di indennizzo da parte della societˆ che lÕinteressato non ha accettato con nota del 16.11.2000, nella quale ha fornito alcune indicazioni analitiche (anche sui contatti telefonici intercorsi di cui era indicata la data e lÕora) che non lasciavano ragionevoli dubbi sullÕidentitˆ del mittente (il quale aveva indicato anche il proprio recapito di telefonia mobile). Alla nota dellÕinteressato del 16.11.2000 e al sollecito del 4 dicembre 2000 la societˆ non ha comunque fatto seguito alcun tempestivo riscontro od obiezione, nŽ la societˆ ha obiettato alcunchŽ sullÕidentitˆ dellÕinteressato al quale il citato art. 13 impone di rispondere senza ritardo. La societˆ non ha poi sollevato analoghe obiezioni in sede di risposta all'invito a fornire un riscontro, formulato dall'Ufficio ai sensi dell'art. 20 del citato d.P.R. n. 501/1998. Pertanto lÕeccezione di inammissibilitˆ proposta solo con il ricorso, contraddetta dal precedente comportamento della societˆ, deve essere disattesa. Venendo al merito, il ricorso verte, come detto, sul diritto di accesso a dati personali contenuti in una perizia medico-legale. Nella pi• volte ricordata istanza ex art. 13 l'interessato ha specificamente delimitato l'oggetto della propria richiesta in relazione alla sola componente valutativa che, assieme a quella informativa e descrittiva preliminare, caratterizza le perizie medico-legali redatte in ambito assicurativo. Tali valutazioni peritali (secondo quanto giˆ precisato da questa Autoritˆ in varie decisioni e, in particolare, nei provvedimenti del 21 giugno e del 13 ottobre 1999, pubblicate nel Bollettino del Garante n. 11/12, pagg. 61-69), comprendono sicuramente dati personali dellÕinteressato fornendo un insieme di elementi informativi, diretti e indiretti, sul soggetto interessato, sulle sue eventuali patologie, sul rapporto fra esse ed altri eventi di vita del medesimo, ecc. Si tratta quindi di dati rispetto ai quali pu˜ essere legittimamente proposta un'istanza di accesso ai sensi della legge n. 675, senza che sia necessario enunciare le specifiche ragioni poste a base dellÕistanza medesima. Va per˜ esaminata, rispetto a tale richiesta, la possibilitˆ di applicare (secondo quanto ipotizzato da Assicurazioni Generali S.p.A.) lÕart. 14, comma 1, lettera e), della legge n. 675, che prevede il temporaneo differimento dellÕesercizio dei diritti previsti dallÕart. 13, limitatamente al periodo durante il quale potrebbe derivarne pregiudizio per lo svolgimento delle c.d. "indagini difensive" o, comunque, per far valere o difendere un diritto in sede giudiziaria. Come il Garante ha avuto modo di precisare pi• volte, la valutazione dell'esistenza di un effettivo pregiudizio ai sensi del citato art. 14, comma 1, lettera e), deve essere effettuata caso per caso e sulla base di concreti elementi forniti dal titolare del trattamento. Nel caso di specie il titolare del trattamento ha evidenziato di detenere le legale al solo scopo di produrre, nel corso della perizia contrattuale prevista mentazione idonea a supportare la propria impostazione ed a replicare alle é quindi giˆ in atto fra le parti una specifica situazione pre-contenziosa relativa in ordine all'infortunio in questione. valutazioni del medico nella polizza, la docupretese del ricorrente. all'indennizzo richiesto Il Garante ritiene quindi che alla luce di tale contesto si sia determinata una temporanea situazione 21 D I R I T T O D I A C C E S S O nella quale occorre non pregiudicare l'attivitˆ delle parti in ordine agli specifici elementi di prova in fase di raccolta, avuto riguardo ai tempi necessari per lÕespletamento della perizia contrattuale rimessa al previsto collegio di tre medici di cui alle condizioni generali di polizza. Tale situazione (analoga ad altra giˆ esaminata dal Garante con decisione del 9 dicembre 1999) induce quindi il Garante ad accogliere la richiesta di un momentaneo differimento del diritto di accesso ai sensi del citato art. 14, con specifico riferimento ai giudizi espressi dal medico fiduciario di Assicurazioni Generali S.p.A. Tale limitazione • solo temporanea ed • collegata al predetto contesto di esercizio del diritto di difesa, cessato il quale il diritto di accesso pu˜ essere nuovamente esercitato e i dati devono essere integralmente comunicati all'interessato che li richieda. Come ricordato nei richiamati provvedimenti del Garante, il citato art. 14 non pu˜ essere invece applicato a dati di tipo identificativo, o aventi carattere oggettivo o comunque non incidenti sulle specifiche ragioni di tutela prospettate dal titolare del trattamento (dati in ordine ai quali non risulta per˜ essere stata presentata un'istanza di accesso da parte del ricorrente). In riferimento alla richiesta del titolare del trattamento in ordine alle spese del procedimento, si ritiene che le stesse debbano essere compensate fra le parti atteso che il ricorso • stato presentato non avendo ottenuto alcun riscontro l'istanza ex art. 13 a suo tempo presentata. PER QUESTI MOTIVI IL GARANTE: a) rigetta il ricorso nei termini di cui in motivazione; b) dichiara compensate le spese fra le parti. Roma, 17 gennaio 2001 IL PRESIDENTE Rodotˆ IL RELATORE Manganelli IL SEGRETARIO GENERALE Buttarelli 22 Fotografie e dati personali Anche le fotografie possono contenere dati personali. La legge n. 675/1996 non • applicabile ai trattamenti di dati per uso esclusivamente personale, semprechŽ i dati non siano oggetto di una comunicazione sistematica o di una diffusione. IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI In data odierna, con la partecipazione del prof. Stefano Rodotˆ, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Ugo De Siervo e dellÕing. Claudio Manganelli componenti, e del dott. Giovanni Buttarelli, segretario generale; ESAMINATO il ricorso presentato dal sig. Rodolfo Digregorio nei confronti del sig. Elio Baudolino; VISTA la documentazione in atti; VISTE le osservazioni dellÕUfficio formulate dal segretario generale ai sensi dellÕart. 15 del regolamento del Garante n. 1/2000 adottato con deliberazione n. 15 del 28 giugno 2000 e pubblicato sulla Gazzetta Ufficiale della Repubblica Italiana n. 162 del 13 luglio 2000; RELATORE il prof. Giuseppe Santaniello; PREMESSO: 1. Il ricorrente ha rivolto una richiesta alla sig.ra Elena Caveglia -fotografa professionista- e al sig. Elio Baudolino -persona nel cui interesse sono state riprese alcune fotografie- per avere copia "dei rullini scattati, oppure la consegna della busta con i negativi", nonchŽ per ottenere spiegazioni sulle finalitˆ di un "servizio fotografico" che sarebbe stato realizzato riprendendo la parte esterna della propria abitazione. Non avendo ricevuto risposta a tale richiesta, che nel ricorso viene collegata allÕart. 13 della legge n. 675/1996, il ricorrente si • rivolto al Garante ai sensi dell'art. 29 della medesima legge, precisando di non essere stato informato delle finalitˆ perseguite con il servizio, nŽ di aver prestato consenso. Ha chiesto quindi a questa Autoritˆ di obbligare il sig. Baudolino "a motivare il suo comportamento e a prevenire il ripetersi di tale situazione, nonchŽ a consegnare le fotografie scattate e i negativi relativi, al fine di far cessare il trattamento dei propri dati personali". Il sig. Baudolino ha inviato poi una memoria nella quale ha precisato che intendeva documentare lo stato dei luoghi oggetto di una controversia giudiziaria, con particolare riferimento allo stato di alcune grondaie e di scarichi di acque piovane, e che il trattamento dei dati rientra nella previsione di cui all'art. 3 della legge n. 675/1996. CIO' PREMESSO IL GARANTE OSSERVA: 2. Va rilevato preliminarmente che il ricorso -a differenza della richiesta ai sensi dellÕart. 13- • rivolto solo nei confronti del sig. Baudolino e non anche nei riguardi della fotografa professionista. Conseguentemente, la presente decisione non riguarda questÕultima, nŽ preclude ulteriori, eventuali azioni nei suoi confronti. 3. Va poi precisato che l'odierno ricorso • preso in considerazione in relazione al diritto di accedere a dati di carattere personale Ðche possono essere contenuti anche in fotografie- anzichŽ come richiesta di ottenere copia integrale di negativi o pellicole da parte del fotografo o la loro restituzione. Vanno infatti tenuti presenti i peculiari connotati del diritto tutelato dall'art. 13, comma 1, lettera c), n. 1, della legge n. 675/1996, che non deve essere confuso con il diverso diritto di accesso ad atti e a documenti. In particolare, va ricordato che lÕinteressato ha diritto di accedere ai propri dati personali, ma non pu˜ chiedere, invocando il medesimo art. 13, di ottenere copia integrale degli atti o di altri documenti contenenti tali dati. Solo quando l'estrazione dei dati risulti particolarmente difficoltosa, l'adempimento della richiesta di accesso pu˜ avvenire anche tramite la modalitˆ dell'esibizione e/o della consegna in copia della documentazione, secondo quanto giˆ precisato da questa Autoritˆ (vedi tra l'altro, i provvedimenti del 21 giugno e del 13 ottobre 1999, pubblicate nel Bollettino del Garante 23 D I R I T T O D I A C C E S S O n. 11/12, pagg. 61 - 69 e sul sito web www.garanteprivacy.it). 4. Ci˜ premesso, il ricorso • infondato. Le fotografie in questione -nella misura in cui, per la loro specificitˆ, possono contenere dati di carattere personale- sono state pacificamente riprese da un fotografo che non • parte del procedimento e che le ha scattate nellÕinteresse del sig. Baudolino per una controversia condominiale. La conservazione e lÕeventuale utilizzazione da parte di questÕultimo di fotografie che potrebbero contenere dati personali rientra, allo stato degli atti, tra i trattamenti effettuati da persone fisiche per fini personali, i quali non sono soggetti allÕambito di applicazione della legge n. 675/1996 se i dati non sono destinati ad una comunicazione sistematica o alla diffusione (art. 3 legge n. 675/1996). Dalla documentazione acquisita non emerge alcuna circostanza tale da far ritenere in atto o comunque possibile una comunicazione sistematica o la diffusione di dati, fuori dellÕeventuale utilizzazione delle fotografie nellÕambito della citata controversia. LÕinapplicabilitˆ al caso di specie delle altre disposizioni della legge n. 675/1996 non pregiudica, in ogni caso, i diritti dellÕinteressato rispetto alla lecita e corretta utilizzazione delle immagini acquisite anche rispetto alla controversia predetta, in conformitˆ alle norme applicabili contenute anche fuori della normativa sulla protezione dei dati personali. PER QUESTI MOTIVI IL GARANTE DICHIARA: infondato il ricorso nei termini di cui in motivazione. Roma, 4 gennaio 2001 IL PRESIDENTE Rodotˆ IL RELATORE Santaniello IL SEGRETARIO GENERALE Buttarelli 24 Note di qualifica: diritto di accesso ai dati e diritto di accesso ai documenti Il diritto di accesso ai dati personali ai sensi della legge n. 675/1996 • diverso dal diritto di accesso ai documenti amministrativi. Quando, per˜, lÕestrazione dei dati dai documenti • particolarmente difficoltosa, la richiesta di accesso ai dati pu˜ essere accolta anche mediante lÕesibizione e/o la consegna in copia della documentazione che li contiene. Una richiesta di accesso ai documenti pu˜ essere presa in considerazione dal Garante come richiesta di accesso ai dati personali. IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI In data odierna, con la partecipazione del prof. Stefano Rodotˆ, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Ugo De Siervo e dellÕing. Claudio Manganelli componenti, e del dott. Giovanni Buttarelli, segretario generale; ESAMINATO il ricorso presentato dal sig. Angelo Bernardi nei confronti della Telecom Italia S.p.A.; VISTA la documentazione in atti; VISTE le osservazioni dellÕUfficio formulate dal segretario generale ai sensi dellÕart. 15 del regolamento del Garante n. 1/2000 adottato con deliberazione n. 15 del 28 giugno 2000 e pubblicato sulla Gazzetta Ufficiale della Repubblica Italiana n. 162 del 13 luglio 2000; RELATORE il prof. Ugo De Siervo; PREMESSO: 1. Il ricorrente, dipendente della Telecom Italia S.p.A., ha presentato ricorso a questa Autoritˆ in quanto la societˆ non avrebbe risposto alle sue richieste ai sensi dell'art. 13 della legge n. 675/1996 volte ad ottenere copia di alcuni documenti inerenti un esame sostenuto nel 1998 per un passaggio di livello professionale. In particolare, lÕinteressato ha richiesto alla societˆ il rilascio: a) dei test di ruolo e specialistico con le risposte da lui fornite; b) del profilo valutativo redatto dal proprio superiore; c) delle schede valutative sottostanti; d) di una successiva comunicazione inviata dallÕufficio "Risorse umane" nella quale sarebbero evidenziati i motivi del diniego della nuova domanda di ammissione allÕesame per il passaggio di livello, presentata dal ricorrente nel 1999. Di seguito allÕinvito a fornire un riscontro formulato da questa Autoritˆ, e della proroga del termine di cui allÕart. 29, comma 4, della legge n. 675/1996, Telecom Italia S.p.A. ha trasmesso al ricorrente copia di alcuni documenti relativi, in particolare, al verbale di esame per il passaggio di livello per le prove svolte nel 1998, nonchŽ ai test valutativi specialistico e di ruolo con le risposte fornite dallÕinteressato e le relative votazioni. In relazione al riscontro fornito il ricorrente ha evidenziato che la societˆ avrebbe trasmesso solo una parte dei documenti da lui richiesti ed ha pertanto insistito per lÕintegrale accoglimento delle proprie richieste. CIOÕ PREMESSO IL GARANTE OSSERVA: 2. Vanno preliminarmente richiamate le considerazioni formulate dal Garante in vari provvedimenti circa i peculiari connotati del diritto tutelato dall'art. 13, comma 1, lettera c), n. 1, della legge n. 675/1996, che non deve essere confuso con il diverso diritto di accesso ad atti e a documenti. LÕesercizio del diritto di accesso ai dati personali determina a carico del titolare o del responsabile del trattamento lÕobbligo di confermare lÕesistenza o meno delle informazioni relative allÕinteressato e di comunicarle a questÕultimo senza ritardo in forma intellegibile, estrapolandole, ove necessario, da archivi, banche dati, atti o documenti che le contengano. Qualora, poi, lÕestrazione dei dati risulti particolarmente difficoltosa, lÕadempimento della richiesta di accesso pu˜ avvenire anche tramite lÕesibizione e/o la consegna in copia della documentazione (vedi, in proposito, le modalitˆ pi• volte richiamate dal Garante, in particolare nei provvedimenti del 21 giugno e del 13 ottobre 1999 pubblicati nel Bollettino del Garante n. 11/12, pagg. 61 - 69). 25 D I R I T T O D I A C C E S S O Al riguardo, si osserva che le richieste del ricorrente, pur essendo in parte formulate con riguardo a documenti, anzichŽ ai dati personali in essi contenuti, contengono espliciti ed evidenti riferimenti alla legge n. 675/1996 e alla disciplina sul trattamento dei dati personali (nellÕultima istanza lÕinteressato ha inviato alla societˆ copia di un provvedimento del Garante del 2 giugno 1999 in materia di accesso dei lavoratori ai dati contenuti nelle schede di valutazione predisposte dal datore di lavoro) e possono quindi essere tenute utilmente in considerazione come esercizio del diritto di conoscere i dati personali, espressi anche in forma di giudizi o valutazioni sul dipendente (v. sempre il citato provvedimento del 2 giugno 1999), contenuti nei documenti di cui il ricorrente ha chiesto la copia. 3. Nel merito, deve essere dichiarato non luogo a provvedere sul ricorso per quanto concerne le istanze di accesso ai dati contenuti in alcuni documenti richiesti dallÕinteressato (test di ruolo e specialistico con le risposte da lui fornite, nonchŽ verbale dellÕesame sostenuto nel 1998), di cui la societˆ ha trasmesso copia integrale con indicazione delle votazioni parziali e finali attribuite, nonchŽ del giudizio conclusivo di "non idoneo". Occorre invece rilevare che la societˆ non ha fornito idonea risposta o indicazione anche negativa, come • necessario in base alla legge n. 675/1996 (v. lÕart. 13, comma 1, lett. c, num. 1), in ordine alle ulteriori informazioni richieste dal ricorrente, con particolare riferimento ai dati che sarebbero contenuti: a) in un profilo valutativo del dipendente (la cui votazione viene peraltro riportata nel verbale dÕesame trasmesso allÕinteressato); b) nelle eventuali schede valutative in base alle quali sarebbe stato predisposto tale profilo; c) in una successiva comunicazione che sarebbe stata inviata dallÕufficio "Risorse umane" in relazione alla nuova domanda di ammissione allÕesame per il passaggio di livello (presentata dallÕinteressato nel 1999). In relazione a questi ultimi aspetti il ricorso • fondato. La societˆ deve quindi integrare il riscontro fornito al ricorrente con una precisa conferma scritta circa lÕesistenza o meno di dati che lo riguardano negli eventuali, altri documenti indicati dallÕinteressato e, in caso affermativo, con unÕimmediata comunicazione dei dati a questÕultimo. PER QUESTI MOTIVI, IL GARANTE: a) dichiara, ai sensi dellÕart. 20, comma 1, del d.P.R. n. 501/1998, non luogo a provvedere relativamente alle richieste dellÕinteressato volte ad ottenere lÕaccesso ai dati contenuti nei test di ruolo e specialistico svolti nel 1998, nonchŽ al relativo verbale di esame; b) accoglie il ricorso nei termini di cui in motivazione per quanto concerne la richiesta di ottenere la conferma dellÕesistenza e la comunicazione dei dati personali contenuti negli altri documenti indicati dal ricorrente; c) ordina, per lÕeffetto, a Telecom Italia S.p.A. di corrispondere in tal senso alla richiesta dellÕinteressato entro il 15 febbraio 2001, dando conferma di tale adempimento entro la stessa data allÕUfficio del Garante. Roma, 11 gennaio 2001 IL PRESIDENTE Rodotˆ IL RELATORE De Siervo IL SEGRETARIO GENERALE Buttarelli 26 F ORZE DI POLIZIA Arma dei carabinieri e C.e.d. Dipartimento P.S. Il Garante ha completato lÕesame di alcune segnalazioni di militari e cittadini relative al trattamento di dati da parte dellÕArma dei carabinieri. LÕAutoritˆ ha rappresentato la necessitˆ di un rapido intervento a livello legislativo e regolamentare, indicando anche allÕArma alcuni principi per quanto riguarda la comunicazione e lÕaggiornamento dei dati inviati al Centro elaborazione dati del Dipartimento di pubblica sicurezza, la tenuta delle c.d. "pratiche permanenti" e altri aspetti applicativi della legge n. 675/1996 tra cui il diritto di accesso da parte degli interessati. IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, con la partecipazione del prof. Stefano Rodotˆ, presidente, del prof. Giuseppe Santaniello, vice-presidente, del prof. Ugo De Siervo e dell'ing. Claudio Manganelli, componenti e del dott. Giovanni Buttarelli, segretario generale; Vista la documentazione in atti; VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000 adottato con deliberazione n. 15 del 28 giugno 2000 e pubblicato sulla Gazzetta Ufficiale della Repubblica Italiana n. 162 del 13 luglio 2000; Relatore il prof. Giuseppe Santaniello; PREMESSO: Sono giunte a questa Autoritˆ alcune segnalazioni di militari e di cittadini che hanno chiesto una verifica in relazione a taluni trattamenti di dati personali effettuati dallÕArma dei carabinieri. Dopo alcuni accertamenti preliminari il Garante ha chiesto allÕArma di fornire ulteriori elementi di valutazione con richieste del 5 giugno e del 7 settembre 2000. Il Comando generale dellÕArma ha collaborato con lÕAutoritˆ fornendo dati, notizie ed informazioni con note del 30 giugno 2000, 15 ottobre 2000 e 23 novembre 2000, sulla base delle quali pu˜ osservarsi quanto segue. 1) QUADRO NORMATIVO Dagli accertamenti effettuati non sono emersi trattamenti illegittimi. Tuttavia, come viene analiticamente indicato nel seguito del provvedimento, le segnalazioni hanno evidenziato problemi che derivano da un quadro normativo non ancora adeguato integralmente ai principi introdotti dalla legge n. 675/1996 in materia di trattamento dei dati personali. Questo profilo • stato giˆ segnalato al Presidente del Consiglio dei ministri e al Ministro della difesa con note del 15 settembre 2000. EÕ riassunto anche in questa sede in quanto le segnalazioni e le risposte fornite evidenziano, per i casi di specie, lÕesigenza di un rapido intervento a livello sia legislativo, sia regolamentare. Il tema va affrontato tenendo conto delle diverse finalitˆ dei trattamenti di dati personali effettuati dallÕArma. A) Un primo gruppo di trattamenti persegue finalitˆ meramente amministrative ed • quindi sottoposto integralmente allÕambito applicativo della legge n. 675/1996 e dei connessi decreti legislativi tra i quali il d.lg. 11 maggio 1999, n. 135, in tema di dati sensibili e di determinati dati di carattere giudiziario (• il caso, ad esempio, dei dati relativi al trattamento giuridico ed economico del personale o for27 F O R Z E D I P O L I Z I A niti a pubbliche amministrazioni per comuni pratiche amministrative, partecipazioni a concorsi ecc.) Per questa prima parte di trattamenti la revisione e lÕintegrazione normativa necessaria dovrebbe riguardare soprattutto le fonti regolamentari e gli atti amministrativi generali che regolano le varie attivitˆ amministrative dellÕArma, che essendo in larga parte antecedenti alla legge n. 675/1996 disciplinano solo in parte la materia del trattamento dei dati. Resta peraltro ferma la necessitˆ del rispetto delle disposizioni di legge giˆ operanti in materia di trattamento di dati, comprese quelle attinenti al diritto di accesso ai dati personali da parte degli interessati su cui si tornerˆ nel prosieguo. B) Una serie diversa e pi• ampia di trattamenti effettuati dallÕArma • invece riconducibile, pi• o meno direttamente, ad esigenze di difesa e sicurezza dello Stato o di prevenzione, accertamento e repressione dei reati. Il d.lg. 5 ottobre 2000, n. 297 ha seguito la linea di tendenza che il Parlamento ha introdotto con le leggi nn. 675 e 676 del 1996, confermando (art. 3) che i principi della legge n. 675/1996 si applicano anche alle attivitˆ di raccolta di informazioni nellÕesercizio delle funzioni di polizia giudiziaria, di sicurezza pubblica, di protezione civile e di polizia militare, con modalitˆ compatibili con la specificitˆ di tali funzioni. Tale intervento normativo non • per˜ esaustivo e la complessa area di trattamenti legata a questo secondo gruppo di funzioni resta sprovvista di una base normativa adeguata e compiuta per quanto riguarda i dati personali. Approvando la legge n. 675/1996, il Parlamento ha infatti stabilito che questa medesima area di trattamenti giustifica un regime particolare in materia di diritti fondamentali della personalitˆ, in base al quale solo alcune disposizioni della legge n. 675/1996 sono direttamente applicabili (quelle indicate nel relativo art. 4, comma 2), mentre altre lo saranno nel prossimo futuro sulla base di opportuni adattamenti, cui allude lo stesso d.lg. n. 297/2000, una volta rinnovata la delega giˆ contenuta nelle leggi nn. 676/1996 e 344/1998 e ora riprodotta in un d.d.l. giˆ approvato dal Senato della Repubblica. Il diverso regime di tutela rispetto a quello previsto per le finalitˆ meramente amministrative incide su diritti e libertˆ fondamentali e rappresenta unÕeccezione a quello ordinario previsto dalla legge n. 675/1996. EÕ applicabile, pertanto, alla precisa condizione che siano in vigore espresse disposizioni di legge che, oltre a prevedere determinate funzioni, individuino anche specificamente i peculiari trattamenti soggetti appunto ad un regime differenziato (cfr. art. 4, comma 1, lett. e), legge n. 675/1996). Le stesse leggi-delega nn. 676/1996 e 344/1998 e il citato d.d.l. di rinnovo prescrivono una ricognizione puntuale, e con fonte primaria, dei medesimi trattamenti e dei soggetti pubblici che li effettuano (art. 1, comma 1, lett. i), n. 3), legge n. 676 cit.). Le varie leggi richiamate dallÕArma nelle sue note, in particolare quelle relative ad esigenze di difesa e sicurezza dello Stato, prevedono invece alcune funzioni, ma non individuano specificamente i trattamenti soggetti ad un regime particolare di protezione dei dati, fatta eccezione per i trattamenti di dati destinati a confluire nel Centro elaborazione dati presso il Dipartimento della pubblica sicurezza (art. 8 legge n. 121/1981; art. 4, comma 1, lett. a), legge n. 675/1996) e, semmai, per alcune funzioni di sicurezza militare succintamente richiamate dallÕart. 8 del d.lg. 5 ottobre 2000, n. 297. Va pertanto segnalata nuovamente al Governo la necessitˆ di un rapido adeguamento normativo che permetta di operare al pi• presto la predetta ricognizione dei trattamenti di dati, delle forze di polizia -tra cui lÕArma- che ne sono titolari e degli opportuni adattamenti. Ci˜ anche in quanto alcune raccolte e comunicazioni di dati effettuate dallÕArma in favore di soggetti pubblici e privati compresi tra gli "Enti autorizzati a chiedere informazioni allÕArma dei carabinieri" si svolgono attualmente su una base giuridica insufficiente, rappresentata da determinazioni anche meramente amministrative e riguardano anche soggetti che, a seguito di privatizzazione, non posseggono pi• tutti i requisiti che legittimano la comunicazione di informazioni. 28 ARMA 2) DATI COMUNICATI AL C.E.D. PRESSO IL DIPARTIMENTO DEI CARABINIERI E C . E . D . D I P A R T I M E N T O P. S . DI PUBBLICA SICUREZZA Il quadro generale va completato anche sul piano amministrativo, con una individuazione aggiornata e in base al principio di proporzionalitˆ (art. 9 legge n. 675/1996), delle informazioni e dei dati da comunicare al Centro elaborazione dati del Dipartimento di pubblica sicurezza, in modo da selezionare meglio quelli effettivamente rilevanti e non eccedenti per le finalitˆ di tutela dellÕordine, della sicurezza pubblica e della prevenzione e repressione della criminalitˆ. Tale problematica sarˆ riesaminata dal Garante in termini pi• generali chiedendo la collaborazione anche del Dipartimento e delle altre forze di polizia. NellÕodierno procedimento va per˜ ricordata la necessitˆ di osservare scrupolosamente il principio secondo cui le informazioni e i dati comunicati al C.e.d. devono riferirsi a notizie risultanti da documenti, motivatamente conservati dalla pubblica amministrazione o da enti pubblici, ovvero risultanti da determinati provvedimenti giudiziari o da indagini di polizia (art. 7, primo comma, legge n. 121/1981), principio che non • di per sŽ rispettato per il solo fatto di archiviare i documenti cartacei a mero riscontro delle informazioni e dei dati comunicati (v. pag. 3 della citata nota del 30 giugno 2000). Dal procedimento non • emerso un quadro esauriente per quanto riguarda i tempi di comunicazione dei dati al C.e.d. e per la rettifica e lÕaggiornamento dei corrispondenti dati eventualmente conservati presso lÕArma (diversi dai documenti da conservare a norma del citato art. 7). Tale profilo • invero importante in relazione allo specifico richiamo dellÕobbligo di conferimento contenuto nellÕart. 43 della legge n. 675/1996, e, soprattutto, per le garanzie per gli interessati. Questi ultimi, infatti, in base allÕart. 10 della legge n. 121 del 1981, hanno diritto di accedere ai dati che devono essere forniti al C.e.d. e possono anche rivolgersi al tribunale -oltre che al Garante a norma dellÕart. 31 della legge n. 675/1996per far compiere gli accertamenti necessari e chiedere lÕeventuale rettifica, integrazione o cancellazione dei dati (art. 10 legge n. 121/1981). Va parimenti segnalata lÕesigenza di adottare ulteriori misure per assicurare un pronto aggiornamento dei corrispondenti dati eventualmente detenuti dallÕArma, a seguito della rettifica, dellÕaggiornamento o della cancellazione dei dati presso il C.e.d. (come pure di determinati provvedimenti giudiziari specie di assoluzione e di archiviazione, come segnalato nei riguardi del Comando di Monterosso al Mare). Per quanto riguarda infine i controlli di persone nel corso di servizi esterni, se appare corretta a fini di documentazione una registrazione interna dellÕattivitˆ svolta, sembra per˜ non giustificato che gli esiti del controllo siano annotati comunque anche nel C.e.d., sebbene lÕinterrogazione del C.e.d. stesso abbia dato esito negativo e non vi siano addebiti a carico del soggetto controllato. In tal caso, la circostanza merita un approfondimento in riferimento al tipo di dati destinati a confluire nel C.e.d. e ai tempi di eventuale conservazione dellÕannotazione. 3) C.D. "PRATICHE PERMANENTI" Il Garante prende atto dellÕimpegno del Comando generale dellÕArma a definire a breve scadenza una nuova disciplina interna sulla conservazione e distruzione del c.d. carteggio permanente e sulle modalitˆ di verifica, aggiornamento, eventuale conservazione e distruzione dellÕingente materiale informativo raccolto specie quando non erano ancora in vigore i principi introdotti dalla legge n. 675/1996. Le informazioni fornite dallÕArma denotano che le prassi adottate da lungo tempo hanno portato ad una proliferazione eccessiva e ad una conservazione stabile di un numero enorme di pratiche permanenti, che lÕArma stima in circa 95 milioni. Si tratta di fascicoli che oltre ad accorpare ulteriori pratiche informative preesistenti e mai distrutte, recano un numero elevato di informazioni raccolte in base ad una prassi introdotta cinquanta anni or sono e in contrasto con sopravvenuti principi in materia di protezione dei dati. La riconosciuta moltiplicazione di pratiche presso i diversi comandi che si interessano ad un medesimo soggetto anche per spostamenti di residenza pu˜ incrementare, poi, il rischio di duplicazioni ed errori, come pure di sovrappesi sullÕattivitˆ informativa dellÕArma. Un intervento efficace in materia • necessario ed urgente a prescindere dal rinnovo della citata delega, sviluppando le prime indicazioni che lÕArma rappresenta di aver fornito ai comandi con circolare del 29 marzo 2000. 29 F O R Z E D I P O L I Z I A Al riguardo, in uno spirito di collaborazione, si segnala la necessitˆ, per le pratiche giˆ formate e per le future modalitˆ di raccolta delle informazioni, di: a) proseguire la prassi di fissare nuovi e pi• proporzionati termini di conservazione dei dati, nonchŽ diversi livelli di consultazione delle informazioni, in relazione a finalitˆ realmente giustificate; b) mantenere idonee cautele rispetto ai dati risalenti nel tempo, specie per quanto riguarda quelli sensibili, i giudizi espressi in passato sulla stima e la reputazione goduta in pubblico, sulle relazioni familiari ed amichevoli, e le notizie raccolte in precedenza "atte a lumeggiare la figura dellÕinteressato"; c) verificare periodicamente lÕosservanza dei principi di pertinenza e non eccedenza delle informazioni trattate, anche presso strutture periferiche. Ci˜ anche in relazione al d.lg. n. 135/1999 in materia di dati sensibili e giudiziari, nonchŽ alle pratiche nelle quali lÕArma verifica eventuali aree di "vulnerabilitˆ" di aspiranti allÕarruolamento e di chi richiede le abilitazioni di sicurezza; d) valutare lÕopportunitˆ di utilizzare tecniche telematiche per migliorare lÕuniformitˆ delle informazioni consultabili da pi• comandi; e) individuare ulteriori meccanismi per poter verificare meglio se le disposizioni sulla consultazione del materiale cartaceo anche da parte di non appartenenti allÕArma sono analiticamente rispettate 4) INCARICATI DEL TRATTAMENTO Va ricordato che per i trattamenti soggetti integralmente allÕambito applicativo della legge n. 675/1996 Ðe per cui • quindi necessario individuare gli incaricati del trattamento- lÕassegnazione di un militare ad una unitˆ organizzativa interna equivale alla sua specifica individuazione per scritto quale incaricato (richiesta dallÕart. 19 della citata legge) quando per lÕunitˆ stessa, accanto alla consueta individuazione delle relative funzioni, sia stata formalizzata anche una ricognizione generale dei tipi di trattamenti effettuabili dallÕunitˆ medesima. 5) NOTIFICAZIONI E COMUNICAZIONI DI ATTI AL PERSONALE Alcune segnalazioni sollevano fondate questioni relative alle modalitˆ di notificazione e comunicazione allÕinterno dellÕArma di atti e provedimenti diretti al personale militare, i quali, anche per effetto della circolazione per via gerarchica tramite diversi comandi, sono resi conoscibili ad unÕampia area di soggetti non legittimati a prendere conoscenza di fatti, circostanze e notizie relative agli interessati. Anche su questa problematica • necessario dare pronta attuazione ai nuovi principi introdotti dalla legge n. 675/1996. Al riguardo si pu˜ tener conto delle indicazioni generali giˆ fornite con il provvedimento di cui viene trasmessa contestualmente copia e che trovano riscontro anche in un disegno di legge in materia di notificazione e comunicazione di atti giˆ approvato dal Senato della Repubblica. 6) DIRITTO DI ACCESSO AI DATI PERSONALI Per i soli trattamenti a fini amministrativi che come si • ricordato sono soggetti integralmente allÕambito applicativo della legge n. 675/1996, il diritto di accesso ai dati personali • gia operante secondo le modalitˆ indicate nel d.P.R. n. 501/1998 (cui lo stesso Comando Regione Carabinieri Toscana si era ad esempio riservato di ottemperare: v. risposta interlocutoria inviata al sig. Valerio Mattioli con nota del 10 ottobre 1997). Per questi trattamenti (nel caso da ultimo segnalato e in casi analoghi) il diritto deve trovare soddisfazione, senza ritardo, da parte delle strutture destinatarie della richiesta di accesso degli interessati (art. 13, comma 1, lett. c), legge n. 675/1996). EÕ doveroso ricordare al riguardo che, fuori dei casi previsti dallÕart. 14 della legge n. 675/1996, non operano esclusioni o limiti temporali o di dati. Verrˆ invece esaminata con separato provvedimento, sulla base dei principi qui richiamati a proposito dellÕart. 4 della legge n. 675, la problematica relativa 30 ARMA DEI CARABINIERI E C . E . D . D I P A R T I M E N T O P. S . alle istanze di accesso provenienti da associazioni di appartenenti ad altra forza di polizia. In conclusione, il Garante ritiene necessario segnalare rispettivamente al Governo e allÕArma gli interventi normativi necessari e le modificazioni necessarie da apportare ai trattamenti di dati. LÕAutoritˆ auspica che lÕampia disponibilitˆ rappresentata dallÕArma, da ultimo anche nella nota del 23 novembre 2000, si traduca a breve in efficaci misure ed iniziative e resta a tal fine a disposizione per ogni collaborazione o chiarimento utile. TUTTO CIO' PREMESSO IL GARANTE: a) segnala al Presidente del Consiglio dei ministri e al Ministro della difesa, ai sensi dellÕart. 31, comma 1, lett. m), della legge n. 675/1996, lÕesigenza di apportare le modifiche normative indicate al punto 1) della motivazione; b) segnala al Comando generale dellÕArma dei carabinieri, ai sensi dell'art. 31, comma 1, lett. c), della legge n. 675/1996, la necessitˆ di conformare i trattamenti di dati personali alle indicazioni contenute nel presente provvedimento, invitandolo a fornire un riscontro entro il 28 febbraio 2001 sulle iniziative intraprese. Roma, 11 gennaio 2001 IL PRESIDENTE Rodotˆ IL RELATORE Santaniello IL SEGRETARIO GENERALE Buttarelli 31 L AVORO E PREVIDENZA SOCIALE Cartellini identificativi dei lavoratori Il provvedimento interessa i dipendenti di pubbliche amministrazioni, aziende sanitarie, compagnie aeree, aziende di trasporto, servizi di ristorazione, ecc. e individua i presupposti e le garanzie per gli interessati per ci˜ che riguarda lÕinclusione delle loro generalitˆ e di altri dati personali nei badge o cartellini identificativi utilizzati sul posto di lavoro. IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, con la partecipazione del prof. Stefano Rodotˆ, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Ugo De Siervo e dellÕing. Claudio Manganelli, componenti, e del dott. Giovanni Buttarelli, segretario generale; VISTE le numerose segnalazioni pervenute sullÕuso di cartellini identificativi da parte del personale dipendente di soggetti pubblici e privati; VISTA la documentazione in atti; VISTE le osservazioni dellÕUfficio formulate dal segretario generale ai sensi dellÕart. 15 del regolamento del Garante n. 1/2000 adottato con deliberazione n. 15 del 28 giugno 2000 e pubblicato sulla Gazzetta ufficiale della Repubblica italiana n. 162 del 13 luglio 2000; RELATORE il prof. Ugo De Siervo; PREMESSO: Sono giunte a questa Autoritˆ molte richieste di parere formulate, in particolare, da pubbliche amministrazioni, aziende sanitarie, compagnie aeree e aziende di trasporto o di servizi di ristorazione, oltre che da diretti interessati, in merito alla conformitˆ alla legislazione sulla protezione dei dati personali delle normative contrattuali od organizzative che impongono al personale a contatto con il pubblico (ad esempio, personale di volo e di terra di compagnie aeree; personale paramedico o impegnato in servizi di ristorazione, ecc.) di appuntare sul vestito o sulla divisa un cartellino identificativo, che contiene svariati dati personali, seppure secondo scelte tra loro in parte differenziate delle diverse fonti che prevedono questi cartellini identificativi. Questo fenomeno, piuttosto diffuso specialmente negli ultimi anni, risponde ad evidenti finalitˆ di miglioramento del rapporto fra operatori pubblici o privati ed utenti dei servizi o clienti degli esercizi commerciali, attraverso una maggiore responsabilizzazione del personale e una pi• agevole possibilitˆ degli utenti o dei clienti di comprendere la qualificazione dei diversi soggetti con cui entrano in rapporto e di potersi quindi tutelare in modo adeguato. Molti dei ricorrenti, pur affermando di condividere queste finalitˆ, lamentano che lÕesposizione al pubblico di alcuni dati personali che possono portare ad unÕagevole identificazione, come ad esempio la denominazione personale o i dati anagrafici, diffonderebbe in modo eccessivo ed ingiustificato dati personali, esponendo gli interessati anche a possibili improprie pressioni da parte di chi ne venga cos“ a conoscenza, come pure a successivi contatti per ragioni estranee allÕattivitˆ lavorativa. La legislazione italiana sulla protezione dei dati personali, in attuazione della direttiva n. 95/46/CE, pone una serie di norme al fine di garantire in una societˆ caratterizzata da ampli flussi informativi, che "il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertˆ fondamentali, nonchŽ della dignitˆ delle persone fisiche", secondo quanto prescrive lÕart. 1, comma 1, della legge 31 dicembre 1996, n. 675. Uno dei principi fondamentali della direttiva europea e della legislazione italiana appare quello secondo cui i dati personali trattati devono essere pertinenti e non eccedenti rispetto alla finalitˆ perseguita: se, infatti, il perseguimento di una determinata finalitˆ legittima una limitazione della riservatezza personale, questa deve essere per˜ ridotta al minimo indispensabile. 32 CARTELLINI I D E N T I F I C AT I V I D E I L AVO R AT O R I Fra le forme di trattamento dei dati personali vi • anche la diffusione, che incontra limiti particolari, in quanto idonea a trasmettere i dati personali ad un numero indeterminato di persone, con quindi una conseguente definitiva rinuncia a tutelare la riservatezza personale dei dati cos“ diffusi. Per questo motivo le disposizioni degli articoli 20 e 27, commi 3 e 4, della legge n. 675/1996, rispettivamente per il settore privato e pubblico, ammettono la diffusione di dati personali solo a precise condizioni, al di lˆ dellÕipotesi dellÕespresso e volontario consenso dellÕinteressato. Il caso in esame, consistente nella diffusione dei dati personali dei dipendenti riportati sui cartellini di identificazione, pu˜ quindi trovare il suo fondamento nella previsione che i soggetti privati possono diffondere dati personali "in adempimento di un obbligo previsto da una legge, da un regolamento o dalla normativa comunitaria" e che i soggetti pubblici possono far ci˜ se • previsto "da norme di legge o di regolamento". La circostanza poi che a portare il cartellino sia lo stesso dipendente interessato non far venir meno il fatto che si tratta pur sempre di una forma di diffusione di dati operata su disposizione del datore di lavoro. NellÕambito del rapporto di lavoro di tipo privato il dovere di portare in modo visibile un cartellino personale identificativo sembra trovare fondamento in alcune prescrizioni di accordi sindacali aziendali o dei cosiddetti "regolamenti aziendali", il cui rispetto pu˜ essere ricondotto alle prescrizioni del contratto di lavoro. Peraltro deve notarsi che non di rado il cartellino di riconoscimento personale sembra cumulare finalitˆ diverse, alcune delle quali relative alla vita interna allÕazienda (controlli sulle entrate ed uscite dallÕazienda, riconoscimento da parte di colleghi o dirigenti, accessi ad aree riservate) ed altre relative invece ai rapporti con gli utenti o i clienti. Relativamente a questa ultima finalitˆ, non risulta di alcuna utilitˆ che appaiano sul cartellino (o sulla parte del cartellino agevolmente visibile da chiunque) dati personali quali quelli identificativi delle generalitˆ e di quelli anagrafici, a differenza dellÕimmagine fotografica, della definizione del ruolo professionale svolto ed eventualmente di un nome, numero o sigla identificativi, che giˆ da soli possono permettere un agevole esercizio da parte dellÕutente o del cliente dei loro diritti. In applicazione quindi del principio di pertinenza e di non eccedenza, appare ingiustificabile la compressione della riservatezza personale nei limiti suddetti. Ad analoghe conclusioni deve giungersi anche in riferimento al settore pubblico e non solo ovviamente in riferimento a rapporti di lavoro che siano stati integralmente "privatizzati". In alcuni atti amministrativi di natura organizzativa o con funzioni di indirizzo, sia a livello nazionale che a livello locale, si prescrive, al fine di una maggiore trasparenza e responsabilitˆ soprattutto alla luce dei principi della legge 241/1990, che alcune strutture della pubblica amministrazione o i concessionari pubblici prevedano lÕadozione da parte del loro personale di cartellini identificativi personali. Anche in questo caso, specie in assenza di precise disposizioni di legge o di regolamento che prescrivano puntualmente il contenuto dei cartellini identificativi, appare non giustificabile che amministrazioni pubbliche o concessionari pubblici impongano la diffusione di elementi identificativi personali non pertinenti ed inutilmente eccedenti rispetto alle finalitˆ di responsabilizzare maggiormente il personale e di fornire agli utenti una conoscenza sufficiente degli operatori con cui entrano in rapporto. TUTTO CIOÕ PREMESSO IL GARANTE: segnala ai datori di lavoro pubblici e privati, ai sensi dellÕart. 31, comma 1, lett. c), della legge n. 675/1996, la necessitˆ di conformare il trattamento di dati personali svolto in materia di cartellini identificativi per il personale dipendente alle indicazioni del presente provvedimento. Roma, 11 gennaio 2001 IL PRESIDENTE Rodotˆ IL RELATORE De Siervo IL SEGRETARIO GENERALE Buttarelli 33 P ROCEDIMENTO R ELATIVO AI R ICORSI Proposizione immediata del ricorso e pregiudizio immediato ed irreparabile La proposizione immediata del ricorso al Garante senza il previo interpello del titolare del trattamento • possibile solo nell'ipotesi in cui il decorso del tempo necessario per interpellare il titolare o il responsabile esporrebbe taluno a pregiudizio imminente o irreparabile. IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI In data odierna, con la partecipazione del prof. Stefano Rodotˆ, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Ugo De Siervo e dellÕing. Claudio Manganelli, componenti e del dott. Giovanni Buttarelli, segretario generale; esaminato il ricorso presentato dal Sig. XY rappresentato e difeso dall'avv. Lisa Agati presso il cui studio sito in Bologna ha eletto domicilio; nei confronti di Servizi Interbancari S.p.A.; VISTE le osservazioni formulate dal segretario generale ai sensi dellÕart. 15 del regolamento del Garante n. 1/2000 adottato con deliberazione n. 15 del 28 giugno 2000 e pubblicato sulla Gazzetta Ufficiale della Repubblica Italiana n. 162 del 13 luglio 2000; RELATORE il prof. Ugo De Siervo; VISTA la documentazione in atti; PREMESSO: Il ricorrente lamenta lÕaddebito sullÕestratto conto, relativo a due carte di credito in suo possesso, di due operazioni di ricarica di telefoni cellulari a lui non intestati. Ha fatto presente di aver chiesto il blocco delle carte al servizio furti e smarrimenti della societˆ, di essere stato informato dellÕesistenza di altre due ricariche e di essere stato per˜ integralmente rimborsato per la somma di lire 440.000. A suo avviso, la vicenda dimostrerebbe che "la tutela dei dati personali del ricorrente non • stata [É] trattata con le cautele del caso, poichŽ pi• di una volta sono stati utilizzati dati che dovrebbero essere sottoposti ad assoluta tutela". Ha chiesto quindi di condannare il "circuito bancario CARTASI'" al risarcimento dei danni e di provvedere anche "alle indagini del caso al fine di valutare le sanzioni previste dall'art. 35 della legge n. 675". CIñ PREMESSO, IL GARANTE OSSERVA: 2. Il ricorso • inammissibile. Il d.P.R. 31/3/1998 n. 501 (pubblicato sulla Gazzetta Ufficiale n. 25 del 1/2/1999), contenente il regolamento di organizzazione e funzionamento dellÕUfficio del Garante per la protezione dei dati personali, ha introdotto negli artt. 18, 19 e 20 la disciplina relativa alla forma, alle modalitˆ di presentazione ed al procedimento per lÕesame dei ricorsi al Garante previsti dallÕart. 29 della legge n. 675/1996. Tale normativa disciplina, altres“, le ipotesi di inammissibilitˆ dei ricorsi (art. 19, d.P.R. n. 501) e prevede che gli stessi siano dichiarati inammissibili o manifestamente infondati anche prima che il ricorso sia comunicato al titolare e al responsabile del trattamento con il connesso invito ad aderire (art. 20, comma 1, d.P.R. n. 501/1998). Con deliberazione del 1 marzo 1999, n. 5 (pubblicata sulla Gazzetta Ufficiale n. 65 del 19 marzo 1999), il Garante ha poi individuato ai sensi del citato art. 19 i casi in cui, anche su invito dellÕUfficio, il ricorso inammissibile pu˜ essere regolarizzato a cura del ricorrente. Il procedimento previsto dallÕart. 29 della legge n. 675/1996 ha caratteri particolari in quanto con il ricorso che lo introduce non si pu˜ lamentare qualsiasi violazione di un diritto della personalitˆ, fuori delle ipotesi di cui allÕart. 13 della legge, come pu˜ avvenire invece in caso di segnalazioni e reclami 34 PROPOSIZIONE I M M E D I ATA D E L R I CO R S O E P R E G I U D I Z I O I M M E D I AT O E D I R R E PA R A B I L E che possono essere rivolti anchÕessi al Garante. Il ricorso pu˜ essere infatti presentato solo per la tutela di una precisa richiesta (formulata in riferimento alle specifiche situazioni soggettive tutelate dallÕart. 13, comma 1, della legge n. 675) avanzata precedentemente al titolare o al responsabile del trattamento e da questi disattesa anche in parte. Il ricorrente che intenda utilizzare il particolare meccanismo di tutela di cui allÕart. 29 della legge n. 675 deve quindi avanzare le proprie richieste, con riferimento appunto ai diritti riconosciuti dal citato art. 13 (diritto di accesso ai propri dati personali, di conoscere la loro origine, di opporsi al loro trattamento per motivi legittimi; cancellazione dei dati trattati in violazione di legge, ecc.), nei confronti dei titolari o dei responsabili del trattamento, ed attendere almeno cinque giorni dalla data della loro presentazione. La proposizione immediata del ricorso al Garante • invece possibile solo nellÕipotesi in cui il decorso del tempo necessario per interpellare il titolare o il responsabile "esporrebbe taluno a pregiudizio imminente e irreparabile", evenienza di cui non vi • traccia agli atti. Nel caso di specie, la richiesta del 28 agosto 2000 (cui ha fatto riferimento lÕinteressato a seguito dellÕinvito a regolarizzare il ricorso) non riguarda lÕesercizio dei diritti di cui alla legge n. 675/1996 e pur contenendo un generico riferimento finale allÕipotizzata violazione della riservatezza, • per˜ incentrata sulle contestate operazioni di ricarica, sulla denuncia penale presentata e sul rimborso dei corrispondenti importi. Il ricorso • impostato in modo analogo, senza un collegamento con la disciplina di cui allÕart. 13 della legge n. 675/1996, e chiede anche al Garante di adottare provvedimenti per i quali lÕAutoritˆ non • competente (il risarcimento degli asseriti danni subiti). Il profilo della sicurezza citato nella parte conclusiva del ricorso potrˆ essere semmai preso in esame dal Garante sulla base di una distinta e pi• circostanziata segnalazione dellÕinteressato che evidenzi la sussistenza di effettive problematiche riguardanti la sicurezza delle informazioni personali diverse da quelle eventualmente concernenti il solo abusivo utilizzo del numero di una carta di credito. PER QUESTI MOTIVI IL GARANTE: dichiara inammissibile il ricorso. Roma, 22 Gennaio 2001 IL PRESIDENTE Rodotˆ IL RELATORE De Siervo IL SEGRETARIO GENERALE Buttarelli 35 Comunicazione politica, e-mail, atti e documenti pubblici conoscibili da chiunque Con questo provvedimento il Garante ha ritenuto fondate le segnalazioni relative allÕinvio non consensuale e generalizzato di e-mail per finalitˆ di comunicazione politica. LÕAutoritˆ precisa anche la nozione di Òpubblici registri, elenchi, atti o documenti conoscibili da chiunqueÓ e ricorda lÕobligo di adempiere senza ritardo alle richieste di cancellazione dei dati. IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, con la partecipazione del prof. Stefano Rodotˆ, presidente, del prof. Giuseppe Santaniello, vice-presidente, del prof. Ugo De Siervo e dell'ing. Claudio Manganelli, componenti e del dott. Giovanni Buttarelli, segretario generale; Vista la documentazione in atti; VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000 adottato con deliberazione n. 15 del 28 giugno 2000 e pubblicato sulla Gazzetta Ufficiale della Repubblica Italiana n. 162 del 13 luglio 2000; Relatore lÕing. Claudio Manganelli; PREMESSO: 1. In data 15 novembre 2000 il Garante ha avviato accertamenti nei confronti dellÕAssociazione politica nazionale Lista Marco Pannella per verificare la liceitˆ e la correttezza di alcuni trattamenti di dati relativi ad indirizzi di posta elettronica, in relazione a circa trenta segnalazioni che lamentano la ricezione non gradita di messaggi per via telematica per finalitˆ di comunicazione politica. Diversi cittadini lamentano anche di aver ricevuto numerosi messaggi del medesimo contenuto in un arco ravvicinato di tempo. Altri hanno fatto invece presente che non • stato loro possibile cancellarsi dagli elenchi dei destinatari secondo le modalitˆ indicate nelle e-mail non gradite, o di essere stati costretti a reiterare invano pi• richieste di cancellazione. LÕAssociazione ha fornito un riscontro alla richiesta di informazioni, allÕesito del quale il Garante osserva quanto segue. 2. Le segnalazioni sono fondate. LÕAssociazione ha fatto presente di aver reperito oltre 390.000 indirizzi di posta elettronica a scopo di comunicazione politica utilizzando un software a disposizione di un terzo il quale archivierebbe indirizzi e-mail visualizzati su pagine web con suffissi ".it", ".org", ".com" e ".net" accessibili a chiunque in rete senza lÕuso di password o di altri sistemi di protezione. La circostanza non ha trovato pieno riscontro in quanto, da accertamenti tecnici effettuati, in almeno otto casi non • stato possibile reperire in rete gli indirizzi di posta elettronica dei cittadini che hanno inviato una segnalazione. Non appare tuttavia rilevante approfondire tale aspetto. Infatti, anche ritenendo che pure questi otto indirizzi siano stati effettivamente raccolti mediante il software menzionato dallÕAssociazione, lÕutilizzazione per finalitˆ di comunicazione politica di tali indirizzi -e degli altri che sono stati invece reperiti in rete- non risulta comunque lecita e corretta. Contrariamente a quanto infatti argomentato dallÕAssociazione, gli indirizzi di posta elettronica dei segnalanti non provengono da "pubblici registri, elenchi, atti o documenti conoscibili da chiunque" (art. 12, comma 1, lett. c), della legge n. 675/1996) e la loro utilizzazione nel caso in esame non • quindi consentita in mancanza di una previa manifestazione positiva di consenso da parte degli interessati (essendo altres“ inoperanti gli ulteriori presupposti elencati nellÕart. 12 della medesima legge). La previsione contenuta nella citata lettera c) non si riferisce a qualunque dato personale che sia di fatto consultabile da una pluralitˆ di persone, ma ai soli dati personali che oltre ad essere desunti da 39 R E T I T E L E M A T I C H E E I N T E R N E T registri, elenchi, atti o documenti "pubblici" (in particolare in quanto formati o tenuti da uno o pi• soggetti pubblici), siano sottoposti ad un regime giuridico di piena conoscibilitˆ da parte di chiunque, regime che pu˜ peraltro prevedere modalitˆ o limiti temporali i quali vanno rispettati anche in caso di comunicazione o diffusione dei dati (art. 20, comma 1, lett. b), legge n. 675/1996). Le citate disposizioni contenute negli artt. 12 e 20 della legge n. 675/1996, di cui • chiaro il significato letterale, possono essere semmai applicate in altri casi di stretta analogia in cui un determinato registro, elenco, atto o documento sia reso ad esempio accessibile a chiunque sulla base della determinazione di un soggetto pubblico adottata in base ad una norma (si veda ad esempio lÕelenco degli abbonati al servizio di telefonia vocale, per il quale lÕAutoritˆ per le garanzie nelle comunicazioni provvede affinchŽ sia reso disponibile agli utenti: art. 17, comma 1, d.P.R. 19 settembre 1997, n. 318). Inoltre, una legittimazione allÕutilizzazione pubblica di determinati dati pu˜ derivare anche dal consenso espresso degli interessati, manifestato in modo specifico ed informato. Al contrario, le citate disposizioni non possono essere estese arbitrariamente in contrasto con la relativa ratio. In particolare, sul piano sistematico, esse non possono essere applicate in modo da poter trattare liberamente qualsiasi dato personale di natura non sensibile in base alla sola circostanza che il dato sia stato conoscibile di fatto, anche momentaneamente, da una pluralitˆ di soggetti. Tale interpretazione, oltre a vanificare il sistema di garanzie introdotto dalla citata legge, risulta anche in aperto contrasto con la direttiva europea n. 95/46/CE del 24 ottobre 1995 nella parte attinente ai presupposti di liceitˆ del trattamento (art. 7). LÕutilizzazione per finalitˆ di comunicazione politica degli indirizzi di posta elettronica dei segnalanti non poteva pertanto avvenire senza un preventivo consenso manifestato dagli interessati eventualmente anche nei confronti di pi• soggetti. Per nessuno dei cittadini che ha presentato la segnalazione • invece risultato dimostrato che lÕinteressato (al momento dellÕattivazione del rapporto con il fornitore di servizi di telecomunicazioni o successivamente) abbia espresso il proprio consenso alla divulgazione e allÕutilizzazione da parte di chiunque del proprio indirizzo di posta elettronica. Non era pertanto corretto gravare lÕutente dellÕonere di chiedere allÕAssociazione di interrompere lÕinvio dei messaggi non richiesti. 3. EÕ parimenti per un verso infondata e per un altro ininfluente la tesi secondo cui, con la partecipazione a forum e newsgroup, lÕutente "decide di pubblicare (cio• di rendere pubblico) il proprio indirizzo di posta elettronica" ed "• consapevole che quellÕindirizzo, quel dato, potrˆ esser letto ed acquisito da chiunque si trovi "a passare" dalla pagina web interessata". Va considerato infatti che la conoscenza di fatto degli indirizzi che si realizza in tali casi non pu˜ essere disgiunta dalla finalitˆ per cui essa avviene. Contrasta, pertanto, con i principi di correttezza e finalitˆ del trattamento raccogliere i dati che singoli utenti "lasciano" in un newgroup, forum, ecc. solo per le finalitˆ di specifica discussione su determinati temi, hobbies, ecc., ed utilizzarli per altri scopi che nulla hanno a che vedere -anche indirettamente- con lÕargomento per il quale lÕutente partecipa ad una discussione pi• o meno "pubblica" ed indica il proprio recapito e le proprie generalitˆ (art. 9, comma 1, lett. b), legge n. 675/1996). Una puntuale conferma della non correttezza di tale modalitˆ di trattamento • posta tra lÕaltro in evidenza nel parere n. 1/2000 che il Gruppo europeo delle autoritˆ garanti per la protezione dei dati ha adottato il 3 febbraio 2000 in tema di reti e di commercio elettronico (pubblicato sul sito web del Garante www.garanteprivacy.it). Anche tale atto pone infatti in evidenza che il solo fatto della rinvenibilitˆ di un indirizzo e-mail in uno spazio pubblico di Internet non comporta un uso libero dellÕindirizzo stesso per mailing elettronici. Il principio in esso affermato vale, poi, per ogni tipo di uso sistematico di una pluralitˆ di recapiti non riconducibile ad un uso personale (su questÕultimo, si veda un altro provvedimento adottato in data odierna dal Garante, sempre in tema di posta elettronica). 4. Ad una conclusione analoga a quella indicata nei precedenti punti deve pervenirsi anche per ci˜ che riguarda altri casi oggetto di segnalazione, nei quali gli indirizzi di posta elettronica sono stati acquisiti dallÕAssociazione in quanto pubblicati su alcuni siti web per specifici fini di informazione aziendale, comunicazione commerciale o attivitˆ istituzionale ed associativa. 40 COMUNICAZIONE POLITICA , E-MAIL, ATTI E DOCUMENTI PUBBLICI CONOSCIBILI DA CHIUNQUE La pubblicitˆ di alcuni indirizzi resi conoscibili attraverso tali siti va collegata anchÕessa, infatti, agli scopi per cui essa si verifica, non potendosi sostenere, anche in tali casi, che i dati posti a disposizione del pubblico per circoscritte finalitˆ siano liberamente utilizzabili per lÕinvio generalizzato di e-mail anche quando queste non abbiano un contenuto commerciale o pubblicitario. 5. Le segnalazioni sono infine fondate anche per ci˜ che riguarda le modalitˆ di cancellazione dei dati. A prescindere dalla liceitˆ o meno dellÕutilizzazione dei dati, lÕAssociazione era tenuta a soddisfare senza ritardo le richieste di cancellazione ai sensi dellÕart. 13 della legge n. 675/1996, curando un servizio attivo ed efficace di eliminazione degli indirizzi dei reclamanti. Il numero delle segnalazioni pervenute al riguardo (che lamentano lÕinerzia dellÕAssociazione o lÕinattivitˆ del meccanismo telematico predisposto) non sembra invece far ritenere che si sia trattato solo di un disguido occasionale. 6. LÕAssociazione deve quindi astenersi dallÕutilizzare ulteriormente i dati personali relativi agli utenti che non abbiano previamente manifestato un consenso alla loro utilizzazione per finalitˆ di comunicazione politica, il che pu˜ ovviamente avvenire sia in occasione dellÕattivazione del rapporto con il fornitore di servizi telematici, sia al momento della partecipazione ad un forum o newsgroup o in altra circostanza. LÕAssociazione deve adottare inoltre ulteriori misure per dare effettivo seguito alle richieste di cancellazione dei dati giˆ pervenute o che pervengano successivamente. TUTTO CIO' PREMESSO IL GARANTE: dichiara fondate le segnalazioni riguardanti lÕAssociazione politica nazionale Lista Marco Pannella nei termini di cui in motivazione e dispone che questa fornisca al Garante un riscontro sulle misure adottate entro il 5 marzo 2001, ai sensi dellÕart. 32, comma 1, della legge n. 675/1996. Roma, 11 gennaio 2001 IL PRESIDENTE Rodotˆ IL RELATORE Manganelli IL SEGRETARIO GENERALE Buttarelli 41 R E T I T E L E M A T I C H E E I N T E R N E T Informativa e consenso su pagine web Nel segnalare la necessitˆ di riformulare il modulo pre lÕinformativa ed il consenso su una pagina web, il Garante ricorda che le relative formule possono essere anche sintetiche e in stile colloquiale. IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, con la partecipazione del prof. Stefano Rodotˆ, presidente, del prof. Giuseppe Santaniello, vice-presidente, del prof. Ugo De Siervo e dell'ing. Claudio Manganelli, componenti e del dott. Giovanni Buttarelli, segretario generale; Vista la documentazione in atti; VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000 adottato con deliberazione n. 15 del 28 giugno 2000 e pubblicato sulla Gazzetta Ufficiale della Repubblica Italiana n. 162 del 13 luglio 2000; Relatore lÕing. Claudio Manganelli; PREMESSO: 1. In data 15 novembre 2000 il Garante ha avviato accertamenti per verificare la fondatezza di una segnalazione relativa ad un trattamento di dati effettuato dallÕOsservatorio sulla legalitˆ e la questione morale (sito www.antoniodipietro.org), in relazione alla ricezione non gradita di un messaggio. Sulla base dei riscontri effettuati e degli elementi forniti dallÕOsservatorio, la segnalazione non • risultata fondata. Il messaggio in questione • stato infatti inviato non direttamente dallÕOsservatorio o dal menzionato sito o da chi comunque gestisce la newsletter "DiPietro2001", ma da un privato che ha ritrasmesso questÕultima ad un limitato numero di destinatari, nel quadro di una probabile attivitˆ interpersonale di informazione. Sulla base della documentazione acquisita, va peraltro segnalata autonomanente allÕOsservatorio, ai sensi dellÕart. 31, comma 1, lett. c), della legge n. 675/1996, la necessitˆ che lÕinformativa e la formula di consenso inserite sul sito, in calce al modulo di adesione allÕOsservatorio, siano riformulate in modo da contenere, anche sinteticamente e con eventuale stile colloquiale, tutti gli elementi richiesti dallÕart. 10 della legge n. 675/1996. TUTTO CIO' PREMESSO IL GARANTE: a) dichiara infondata la segnalazione pervenuta nei riguardi dellÕOsservatorio sulla legalitˆ e la questione morale; b) segnala autonomamente al medesimo Osservatorio, ai sensi dellÕart. 31, comma 1, lett. c), della legge n. 675/1996, la necessitˆ di riformulare lÕinformativa e la formula di consenso presenti sul sito www.antoniodipietro.org nei termini di cui in motivazione, fornendo un riscontro al Garante entro il 5 marzo 2001. Roma, 11 gennaio 2001 IL PRESIDENTE Rodotˆ IL RELATORE Manganelli IL SEGRETARIO GENERALE Buttarelli 42 ACCERTAMENTI E CONTROLLI ISPETTIVI DEL GARANTE Programma semestrale delle attivitˆ ispettive Nella deliberazione si individuano i principi e le procedure che guideranno lÕesercizio dei poteri ispettivi del Garante nel piano semestrale del 2001, in relazione alle risorse disponibili. Registro delle deliberazioni n. 2 del 30/1/2001 IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI NELLA riunione odierna, con la partecipazione del prof. Stefano Rodotˆ, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Ugo De Siervo e dell'ing. Claudio Manganelli, componenti, e del dott. Giovanni Buttarelli, segretario generale; VISTI gli articoli 3 e 32 della legge 31 dicembre 1996, n. 675; VISTO l'art. 15 del decreto del Presidente della Repubblica 31 marzo 1998, n. 501 ("Regolamento recante norme per lÕorganizzazione ed il funzionamento dellÕUfficio del Garante per la protezione dei dati personali, a norma dellÕart. 33, comma 3, della legge 31 dicembre 1996, n. 675"); VISTI gli artt. 2, comma 1, lettere a) e c), 6 e 8 del regolamento del Garante n. 1/2000 sull'organizzazione e il funzionamento dell'Ufficio del Garante, pubblicato sulla Gazzetta Ufficiale n. 162 del 13 luglio 2000; RITENUTA lÕopportunitˆ di individuare principi e criteri che devono informare ciascuna tipologia di attivitˆ ispettiva, intendendo per tale lÕintervento esterno di vigilanza e controllo curato dal personale dell'Ufficio nei luoghi dove si svolgono i trattamenti di dati, o nei quali occorre effettuare rilevazioni comunque utili al medesimo controllo, e ci˜ anche al fine di stabilire prioritˆ in relazione alle risorse disponibili; RITENUTO che lÕindividuazione di principi e criteri debba essere effettuata con cadenza periodica, anche mediante ulteriori specificazioni di soggetti interessati all'attivitˆ ispettiva; RITENUTA lÕopportunitˆ di dare pubblicitˆ alle scelte operate; VISTA la documentazione in atti; VISTE le osservazioni dellÕUfficio formulate dal segretario generale ai sensi dellÕart. 15 del regolamento del Garante n. 1/2000 adottato con deliberazione n. 15 del 28 giugno 2000 e pubblicato sulla Gazzetta Ufficiale della Repubblica italiana n. 162 del 13 luglio 2000; RELATORE lÕing. Claudio Manganelli; DELIBERA: 1. nel primo semestre dellÕanno 2001 le attivitˆ ispettive dell'Ufficio del Garante effettuate con esercizio dei poteri di cui ai commi 1 e 2 dell'art. 32 della legge sono svolte, di norma, sulla base dei seguenti principi e criteri: 44 PROGRAMMA SEMESTRALE DELLE ATTIVITË ISPETTIVE a. i sopralluoghi effettuati nei luoghi dove si svolgono i trattamenti con esercizio dei poteri di cui al comma 1 dell'art. 32 della legge e dell'art. 13 della legge 24 novembre 1981, n. 689, sono di regola disposti quando, per acquisire gli elementi necessari per la compiuta definizione del contesto, non sia ritenuta utile la trasmissione di una richiesta di informazioni o di esibizione di documenti; b. gli accessi alle banche dati, ispezioni, verifiche e le altre rilevazioni effettuati con esercizio dei poteri di cui al comma 2 dell'art. 32 della legge sono di regola disposti quando, per acquisire gli elementi necessari per la compiuta definizione del contesto, non sia ritenuto opportuno procedere alla richiesta di informazioni o di esibizione di documenti, ovvero nei casi in cui non siano pervenute le informazioni o i documenti richiesti o, se pervenuti, siano ritenuti incompleti o non veritieri; c. le collaborazioni effettuate su richiesta di soggetti pubblici che esercitano funzioni di accertamento, vigilanza e controllo rispetto alla commissione di illeciti sono disposte dando prioritˆ ai contesti dai quali emergono o potrebbero emergere notizie di reato; 2. le risorse umane a disposizione del Garante per le attivitˆ ispettive sono destinate: - per un terzo, ad investigazioni dÕiniziativa e collaborazioni su richiesta di soggetti pubblici che esercitano funzioni di accertamento, vigilanza e controllo rispetto alla commissione di illeciti; - per un terzo, a verifiche rispetto alle segnalazioni e ai reclami di cui all'art. 31, comma 1, lettera d) della legge, privilegiando quelli caratterizzati da pi• elevata attendibilitˆ e riguardanti violazioni di maggiore gravitˆ; - per un terzo, ad indagini conoscitive sullo stato di attuazione della legge in determinati settori e alle verifiche d'iniziativa sui trattamenti che, in base a specifici elementi, si abbia motivo di ritenere siano effettuati in violazione di legge o di regolamento, con equa ripartizione nei diversi settori pubblici e privati; 3. le attivitˆ ispettive di cui alle lettere a) e b) del punto 1, quando non sussista il rischio di dispersione o alterazione degli elementi di prova, possono essere effettuate anche con preavviso ovvero richiedendo il preventivo assenso scritto e informato dei titolari o dei responsabili dei trattamenti, nei casi e con le modalitˆ indicate dall'articolo 15, commi 1 e 4, del decreto del Presidente della Repubblica 31 marzo 1998, n. 501; 4. le indagini conoscitive sullo stato di attuazione della legge in determinati settori sono effettuate, di regola, con preavviso ai titolari o ai responsabili dei trattamenti; 5. pu˜ essere richiesta la collaborazione di altri organi dello Stato, ai sensi dell'art. 32, comma 2, della legge quando sia utile ai fini della tempestivitˆ, speditezza o completezza degli interventi. Roma, 30 gennaio 2001 Letto, confermato e sottoscritto IL PRESIDENTE Rodotˆ IL RELATORE Manganelli IL SEGRETARIO GENERALE Buttarelli 45 COMUNICATI STAMPA C O M U N I R ICHIAMO C A T DEL I S T A GARANTE M P A AI MINISTERI : GLI ATTI EMANATI SENZA CONSULTARCI SONO ANNULLABILI Il Garante per la protezione dei dati personali ha nuovamente scritto al Presidente del Consiglio dei Ministri per segnalare il persistere di omissioni da parte dei Ministeri nel consultare l'Autoritˆ al momento di predisporre regolamenti ed atti amministrativi suscettibili di incidere sulle materie disciplinate dalle norme sulla privacy. Alcuni degli esempi pi• recenti di tale inadempienza sono: il decreto del Ministro dell'interno dell'11 dicembre 2000, sulle modalitˆ di rilevazione e comunicazione giornaliera di dati relativi ai clienti degli alberghi, dal d.P.R. 10 ottobre 2000 n. 333, recante norme per il diritto al lavoro dei disabili, e dal d.P.C.M. 31 ottobre 2000 in materia di protocollo informatico. Nel sottolineare, pertanto, ancora una volta che i provvedimenti mancanti del parere previsto dalla legge 675 del 1996 sono illegittimi e annullabili, l'Autoritˆ ha deciso di segnalarli anche sul proprio sito www.garanteprivacy.it per portarli a conoscenza dei cittadini. Il parere del Garante, infatti, ha la funzione di far presente alle diverse amministrazioni le esigenze di assicurare, in tutti i casi, il massimo rispetto dei diritti dei cittadini in una materia che riguarda l'uso di informazioni personali, spesso assai delicate. A dimostrazione di tale mancato adempimento, nell'ottobre 2000 in una lettera alla Presidenza del Consiglio, il Garante aveva giˆ rilevato il mancato rispetto della legge sulla riservatezza dei dati per quanto riguarda la richiesta del parere all'Autoritˆ, sottolineando ancora una volta la circostanza che i regolamenti e gli atti amministrativi adottati senza la consultazione del Garante sono viziati e annullabili per violazione della legge sulla riservatezza dei dati e del diritto comunitario in materia. Qualora dovessero persistere tali violazioni, il Garante si vedrebbe costretto a portarle a conoscenza anche delle competenti autoritˆ comunitarie. Tra i vari casi da citare, il d.m. 30 maggio 2000 del Ministro del commercio con l'estero in materia di dati sensibili (G.U. 1 luglio 2000, n.152); il d.P.R. 12 luglio 2000, n. 257 sulle attivitˆ formative fino al diciottesimo anno di etˆ (G.U. 15 settembre 2000, n. 216); la direttiva del P.C.M. 28 ottobre 1999 (gestione informatica dei flussi documentali nella pubbliche amministrazioni, G.U. 11 dicembre 1999, n. 290); il d.m. del Ministro delle finanze 15 giugno 2000 sulle scommesse (G.U. 12 luglio 2000, n. 161); il d.P.R. 8 marzo 1999, n. 70 (telelavoro nelle pubbliche amministrazioni, G.U. 25 marzo 1999, n. 70); il d.m. del Ministro per le politiche agricole 21 maggio 1999, n. 159 (riguardante l'A.I.M.A.); il decreto 19 marzo 1999 del Ministero delle finanze (interscambio di dati relativamente all'I.C.I., G.U. 16 aprile 1999, n. 88); il d.m. del Ministro della giustizia 27 marzo 2000, n. 264 sulla tenuta dei registri informatizzati presso gli uffici giudiziari (G.U. 26 settembre 2000, n. 225); il d.P.R. 30 giugno 2000, n. 230 (nuovo regolamento sull'ordinamento penitenziario, G.U. 22 agosto 2000, n. 195). Roma, 9 gennaio 2001 48 C T RATTAMENTI O M U N I C A T I S T A M P A DI DATI PERSONALI DA PARTE DELL 'A RMA DEI CARABINIERI : OCCORRONO NUOVE NORME PER COMPLETARE LE GARANZIE PER I CITTADINI L'Autoritˆ Garante ha concluso lÕesame di alcune segnalazioni di militari e di cittadini riguardanti alcuni trattamenti di dati personali effettuati dall'Arma dei carabinieri. Dai diversi accertamenti effettuati non sono emersi trattamenti sostanzialmente difformi dalla normativa vigente. Si sono per˜ evidenziati alcuni problemi che derivano da un quadro normativo che non • stato ancora adeguato del tutto ai principi introdotti dalla legge sulla riservatezza dei dati. Per questo motivo, il Garante ha segnalato al Presidente del Consiglio dei ministri e al Ministro della difesa la necessitˆ di un sollecito intervento, a livello legislativo e regolamentare, per integrare la normativa che regola attualmente le varie attivitˆ di raccolta e utilizzo dei dati da parte dell'Arma. Le modifiche da apportare riguardano non solo i trattamenti per fini meramente amministrativi (relativi ad esempio al personale dipendente), soggetti integralmente alla legge n. 675, ma anche le altre delicate attivitˆ svolte dallÕArma (funzioni di sicurezza pubblica, di protezione civile, di polizia militare e di polizia giudiziaria) sottoposte solo in parte alla legge sulla riservatezza dei dati e per le quali sono previsti opportuni adattamenti, legati alla specificitˆ di tali funzioni. A questo proposito, il legislatore, a tutela dei diritti fondamentali della persona coinvolti, ha stabilito che i diversi trattamenti possibili debbano essere individuati analiticamente, anche per quanto riguarda i soggetti legittimati a svolgerli. Di qui la necessitˆ di un urgente intervento normativo. Le segnalazioni pervenute al Garante riguardavano, in particolare, le cosiddette "pratiche permanenti" custodite dallÕArma. In proposito, l'Autoritˆ ha preso atto della collaborazione fornita dallÕArma e dellÕimpegno del suo Comando generale a definire in tempi brevi una nuova disciplina interna sulle modalitˆ di verifica, aggiornamento, conservazione ed eventuale distruzione dell'ingente materiale informativo raccolto in passato. Dalle informazioni fornite dall'Arma • emerso che le prassi adottate da lungo tempo, oltre ad aver portato ad una proliferazione eccessiva e ad una conservazione stabile di un numero enorme di pratiche, ha comportato anche lÕaccorpamento di preesistenti pratiche, recanti un numero elevato di informazioni ormai in contrasto con i sopravvenuti principi in materia di protezione dei dati. LÕAutoritˆ ha indicato, pertanto, la necessitˆ di nuovi e pi• proporzionati termini di conservazione dei dati, di ulteriori livelli diversificati di consultazione, di mantenimento di idonee cautele rispetto ai dati risalenti nel tempo (specie per quanto riguarda dati sensibili e giudizi), di verifica periodica della pertinenza e non eccedenza delle informazioni rispetto ai fini perseguiti, nonchŽ lÕopportunitˆ dellÕutilizzo di tecniche telematiche per migliorare lÕuniformitˆ delle informazioni consultabili da parte di pi• comandi. Il Garante ha richiamato poi lÕattenzione sui dati comunicati al C.e.d. del Dipartimento di pubblica sicurezza, prospettando lÕesigenza di un aggiornamento selettivo dei dati da comunicare perchŽ effettivamente rilevanti per le finalitˆ di tutela dell'ordine, della sicurezza pubblica e della prevenzione e repressione della criminalitˆ (tema che sarˆ riesaminato anche in collaborazione con il Dipartimento e con le altre forze di polizia). Ha poi ricordato il principio secondo cui le notizie comunicate al C.e.d. devono risultare da documenti motivatamente conservati dalla pubblica amministrazione o da indagini di polizia ed essere aggiornate. Tra le altre indicazioni fornite a garanzia degli interessati, il Garante ha segnalato infine all'Arma la questione del tempestivo soddisfacimento del diritto di accesso ai dati trattati per fini amministrativi e la necessitˆ di prevedere nuove modalitˆ di notificazione e comunicazione interna di atti diretti al personale. Roma, 23 gennaio 2001 49
