II - L´attività svolta dal Garante - par. 16-19 - Relazione 2005 - 7 luglio 2006

16. La sicurezza dei dati e dei sistemi

Anche nel corso del 2005 sono pervenute numerose richieste di chiarimenti circa la disciplina in materia di "misure minime" di sicurezza introdotta dal Codice.

I principi già affermati dall´Autorità con la citata nota del 22 marzo 2004 sono stati, da ultimo, ribaditi nella risposta ad un quesito della Confederazione nazionale dell´artigianato e delle piccole e medie imprese (Cna). Richiamandosi ai contributi già resi dall´Autorità in materia, con specifico riguardo alla redazione di una guida operativa disponibile sul sito del Garante [doc. web n. 1007740], volta ad agevolare la stesura e l´aggiornamento di un d.p.s. ancor più semplificato e impostato per le esigenze peculiari delle piccole e medie imprese, l´Ufficio del Garante si è reso disponibile a fornire ulteriori contributi alla categoria, precisando che eventuali provvedimenti di esonero o di deroga non rientrano tra i poteri attribuiti al Garante dal Codice (Nota 1 marzo 2005). Si è pertanto sviluppata una proficua collaborazione con la Confederazione che ha portato allo studio e alla definizione di modalità operative semplificate di stesura del d.p.s. reputate dal Cna maggiormente idonee a rappresentare le istanze e le caratteristiche dei piccoli e medi operatori del mercato.

In base alla dettagliata descrizione fornita dalla società è risultato che gli agenti (tutti incaricati del trattamento dei dati del proprio pacchetto clienti) ricevono in dotazione dalla società un computer portatile che contiene, come dotazione standard, un dispositivo per la rilevazione delle impronte digitali gestito da un software installato sul computer. Il dispositivo di riconoscimento e il relativo software, presenti su ciascun computer, sono attivabili solo dall´agente che voglia avvalersene. L´immagine dell´impronta viene registrata esclusivamente su un´area protetta del disco fisso del computer stesso ed associata ad una password scelta dall´utente e solo dallo stesso modificabile successivamente, senza alcuna centralizzazione in archivi aziendali o possibilità di accesso da parte della società al dato biometrico (anche in caso di malfunzionamento, il computer viene reso alla direzione informatica della società che formatta il disco cancellando l´impronta registrata), il quale resta nell´esclusivo controllo dell´utente-incaricato che può cancellarlo in qualsiasi momento.

Nel caso di specie non è apparsa necessaria la valutazione preventiva del Garante tenuto conto delle caratteristiche del tutto peculiari del progetto e, soprattutto, della finalità di autenticazione informatica perseguita. L´adozione di un sistema di autenticazione informatica (mediante il quale gli incaricati dotati di apposite credenziali possono effettuare specifici trattamenti di dati personali), conforme ai requisiti tecnici indicati dalle regole 1.11. dell´Allegato B) al Codice, costituisce infatti una misura minima di sicurezza che il titolare, il responsabile (ove designato) e l´incaricato sono tenuti ad utilizzare (art. 34, comma 1, lett. a), del Codice). Tali credenziali di autenticazione, come nel caso di specie, possono consistere anche in una caratteristica biometrica dell´incaricato, eventualmente associata ad un codice identificativo o a una parola chiave.

17. Registro dei trattamenti

Il registro dei trattamenti previsto dall´art. 37 del Codice ha consolidato la propria veste nel corso del 2005, nella nuova connotazione informatica che ha fornito esiti ancora più positivi in termini di efficienza, efficacia, economicità e rapidità nel monitoraggio.

Nel registro confluiscono come è noto le notificazioni del trattamento di dati personali, le quali pervengono al Garante secondo le procedure previste dall´art. 38. L´intera notificazione (compresa la firma) avviene telematicamente. Il registro è pubblico e chiunque può consultarlo, tramite il sito dell´Autorità, mediante un apposito motore di ricerca.

I contenuti della notificazione sono limitati alle informazioni essenziali sui trattamenti effettuati; rendono però possibile effettuare ampi controlli, estrazioni di dati ed elaborazioni statistiche. Il registro viene pertanto utilizzato dall´Autorità a fini di monitoraggio, controllo e orientamento delle attività ispettive in determinati settori.

Gli obiettivi posti con il nuovo sistema di notificazione (flessibilità del sistema; contenimento delle notizie da richiedere e ai titolari; semplificazione della procedura; pubblicità completa del registro dei trattamenti), la filosofia e il modello posti alla base della procedura, sono stati in seguito tenuti presenti per altre attività legate ai trattamenti che presentano rischi specifici ex art. 17 del Codice (verifica preliminare del Garante).

Preme evidenziare, rispetto all´esperienza di applicazione relativa all´anno precedente, il fattivo ausilio offerto all´utenza che ha avuto occasione di sollecitare ed ottenere chiarimenti dal dipartimento dell´Ufficio che vi è preposto.

Tra i momenti istituzionali di contatto con l´utenza si segnala la possibilità, offerta al notificante, di sospendere la notificazione in qualsiasi momento e di continuarla successivamente, utilizzando un codice numerico che viene spedito automaticamente dall´Ufficio, con due vantaggi immediati:

• l´utente può indicare il motivo della sospensione; il dipartimento è messo in grado di intervenire tempestivamente nel caso in cui l´utente stia effettuando una notificazione non dovuta, sia in difficoltà o non abbia compreso alcuni elementi, ovvero semplicemente intenda essere "guidato" o agevolato nella compilazione;
• viene così reso noto all´utente l´indirizzo e-mail dell´Ufficio, in seguito utilizzato frequentemente per altre richieste e segnalazioni.

Le difficoltà incontrate dagli utenti nella compilazione della notificazione (trattasi di un fenomeno comunque assai marginale) attengono quanto si dirà di seguito–quasi esclusivamente all´apposizione della firma digitale (possesso di un certificato scaduto, mancata lettura delle istruzioni, ecc.).

A questi elementi, deve aggiungersi l´esperienza che il dipartimento può continuare ad offrire rispetto ad alcuni dubbi interpretativi emersi nell´individuazione dei soggetti obbligati alla notificazione, anche dopo il provvedimento di esonero del Garante del 2004 e le connesse  delucidazioni fornite con una risposta di ordine generale a quesiti (Provv. n. 1 del 31 marzo 2004 [doc. web n. 852561]; Nota 23 aprile 2004 [doc. web n. 993385]; v. anche Nota 26 aprile 2004 [doc. web n. 996680], visto che l´art. 37 del Codice descrive il suo ambito di applicazione con una disciplina generale senza entrare in innumerevoli dettagli legati alle migliaia di diversi titolari del trattamento e di banche dati.

Nel 2005, a parte i picchi registratisi in occasione della scadenza di taluni termini per l´adempimento ad obblighi previsti dal Codice (a volte erroneamente associati all´obbligo di notificazione, come è avvenuto per la redazione del documento programmatico sulla sicurezza), il numero di notificazioni giornaliere ha oscillato tra le sei e le sette.

Le tabelle statistiche riportate in altra parte della presente relazione forniscono altri elementi utili per valutare come il registro si evolve. Ad esempio, dalle tabelle relative alle singole tipologie di trattamenti notificati, si riscontra una netta prevalenza di quelli riferiti alla salute, alla profilazione e alla solvibilità economica rispetto ad altri trattamenti.

Il versamento dei diritti di segreteria (euro 150,00 per ciascuna notificazione) resta possibile utilizzando on-line una carta di credito (circa il 22% dei casi) o con altri sistemi quali il bonifico bancario (30%) o il conto corrente postale (48%).

Sono stati poi previsti particolari accorgimenti sul piano della sicurezza: un messaggio di avvenuta ricezione della notificazione viene spedito dal dipartimento al notificante, unitamente ad un codice segreto (codice univoco del notificante, Cun) che permette l´eventuale modifica della precedente notificazione o la sua cessazione. Tale aspetto è monitorato costantemente ed eventuali anomalie sono segnalate ad altri dipartimenti dell´Ufficio.

Per agevolare il compito di apposizione della firma digitale, l´Autorità continua inoltre a dare applicazioni ad alcune convenzioni con Poste italiane S.p.A., Unappa (Unione nazionale professionisti pratiche amministrative), Alar (Associazione lavoratori autonomi riuniti) e Comune di Livorno, per permettere la notificazione, tramite l´ausilio di intermediari qualificati, anche a chi non voglia o non possa dotarsi del kit di firma digitale. Altri tentativi intrapresi dall´Autorità per estendere le convenzioni ad altri soggetti (banche, comuni, camere di commercio) non hanno per ora riscontrato l´interesse degli interlocutori.

Il notificante può inoltre rivolgersi a soggetti di fiducia (commercialisti, avvocati, notai, conoscenti, purché in possesso di chiave per la firma digitale), senza limitazioni. Il costo del servizio reso dall´intermediario convenzionato, consistente nella stampa della notificazione, nell´apposizione della firma digitale, nell´inserimento di eventuali riferimenti ai diritti di segreteria e nell´invio del file è pari ad un massimo di euro 25,00 che l´utente paga direttamente all´intermediario.

Alla data del 31 dicembre 2005, risultavano inoltrate 6.439 notificazioni tramite gli intermediari convenzionati, con prevalenza dell´utilizzo di Poste italiane S.p.A.

Va operato un cenno alla possibilità, consentita dal sistema in uso, di monitorare il flusso dei dati in arrivo e di compiere ricerche ed elaborazioni di statistiche, anche al fine di riscontrare richieste dei dipartimenti dell´Ufficio operanti nel settore giuridico, in particolare allo scopo di coadiuvare l´attività ispettiva. Risultano in particolare interessanti le interrogazioni volte ad estrarre, all´interno delle tabelle descrittive dei trattamenti, le categorie di dati, di interessati, le finalità e le modalità del trattamento, l´eventuale comunicazione dei dati e l´utilizzazione, per il trattamento dei dati, di un sito web.

A titolo sperimentale, il dipartimento ha assunto infine l´iniziativa di inviare automaticamente un messaggio di posta elettronica ad alcuni dipartimenti interni (compreso quello ispettivo), segnalando volta per volta l´avvenuta notificazione di trattamenti più significativi (ad es., il trattamento di dati genetici trasferiti all´estero).

18. La trattazione dei ricorsi

18.1. Considerazioni generali

Uno strumento di tutela agile e "multiuso": questa definizione, nella sua sinteticità, sembra fotografare efficacemente il ruolo e la funzione che il ricorso, ai sensi degli artt. 145 e ss. del Codice, è venuto ad assumere nel quadro più generale della tutela dei dati personali. L´analisi del numero e della tipologia dei ricorsi proposti nel 2005 attesta la veridicità della definizione a conferma di un trend chiaramente emerso già negli ultimi anni. L´esame dell´ampia casistica affrontata in questi mesi dal Garante sottolinea, poi, l´utile funzione di "antenna" di questo strumento di tutela che segnala tempestivamente nuove frontiere della protezione dei dati e, al tempo stesso, evidenzia settori di maggiore "utilizzo" delle opportunità di tutela che il Codice offre.

In questo senso, lo sguardo agli ultimi due anni mette in luce un´autentica "esplosione" dei ricorsi relativi al trattamento di dati effettuato da banche e società finanziarie, con particolare riferimento alla comunicazione e conservazione delle informazioni negli archivi dei Sic (sistemi di informazioni creditizie), già comunemente noti come "centrali rischi private". La vicenda è significativa e rappresenta un interessante esempio di intreccio fra la dinamica sociale ed economica (la crescita esponenziale del credito al consumo in connessione con una fase di limitata disponibilità reddituale delle famiglie) e lo sforzo di disciplina di un settore che era privo di una normativa organica di riferimento.

In questo quadro sono emerse con forza le esigenze di tutela dei dati personali dei consumatori (esattezza dei dati, tempestività degli aggiornamenti, chiarezza informativa dei meccanismi di segnalazione nei citati Sic, definizione dei tempi di conservazione delle posizioni, ecc.) che, in equilibrato contemperamento con le esigenze di garanzia e stabilità degli operatori finanziari, hanno ispirato la disciplina ora affidata, essenzialmente, all´apposito codice di deontologia e di buona condotta di settore (Provv. n. 8 del 16 novembre 2004 doc. web n. 1070713] e connesso provvedimento sul bilanciamento di interessi, Provv. n. 9 del 16 novembre 2004 [doc. web n. 1070779]).

Anche ricorsi presentati in altri campi hanno, parimenti, permesso di far emergere aspetti nuovi. Ne sono testimonianza diverse decisioni che hanno avuto a tema i trattamenti in Internet, così come l´utilizzo dei dati personali da parte degli operatori telefonici o le nuove forme che può assumere, nel quadro tecnologico attuale, il controllo sui lavoratori (v. par. 18.3).

18.2. Profili procedurali

Venendo in primo luogo a profili più strettamente procedurali, è possibile rilevare alcune linee di tendenza ormai consolidate.

Il ricorso, specie se proposto con l´assistenza di un legale, appare sempre più spesso utilizzato come "tassello" di una più ampia strategia difensiva: diventa, cioè, il veicolo privilegiato per acquisire le informazioni indispensabili alla tutela della posizione di un soggetto o per contestare, sotto lo specifico profilo della protezione dei dati, operazioni poste in essere, ad esempio, nell´ambito di un rapporto contrattuale. In questo quadro, acquisisce rilievo l´intero "catalogo" dei diritti previsti dall´art. 7 del Codice per la cui tutela il ricorso viene proposto. Lo stesso, quindi, non è più funzionale solamente alla tutela del diritto di accesso ai dati, ma viene frequentemente e consapevolmente utilizzato per accertare l´origine dei dati personali, le finalità o le modalità di uno specifico trattamento o per sollecitare, in caso di violazione di legge, la cancellazione dei dati stessi.

La più ampia conoscenza dei diritti di cui all´art. 7 del Codice e della loro tutelabilità con lo strumento del ricorso ha fatto poi sviluppare, negli ultimi mesi, l´attività di terzi (talvolta associazioni di consumatori, in altri casi soggetti operanti in veste professionale di delegato) che hanno promosso numerose richieste volte ad accedere ai dati e ad ottenere successivamente la loro cancellazione, con particolare riferimento alle informazioni conservate negli archivi dei già citati Sic.

In alcuni casi, peraltro, la procedura del ricorso è dovuta passare attraverso una necessaria fase di regolarizzazione, secondo il disposto dell´art. 148, comma 2, del Codice, in quanto esempio–le procure rilasciate ai soggetti incaricati di presentare ricorso in nome dell´interessato non erano accompagnate dalla necessaria firma autenticata dello stesso. In altri casi, la presentazione del ricorso è avvenuta senza essere stata preceduta dalla doverosa presentazione di un´istanza formulata ai sensi del citato art. 7 del Codice, allegando solamente l´esistenza di generici motivi di urgenza.

Al riguardo, il  Garante  è  pervenuto  a  declaratorie  di inammissibilità (ad es., Provv. 14 luglio 2005 [doc. web n. 1157708]), ricordando che la presentazione in via di urgenza del ricorso è possibile, ai sensi dell´art. 146, comma 1, del Codice, solo fornendo prova del pregiudizio imminente e irreparabile che avrebbe impedito di procedere all´invio dell´interpello preventivo e di attendere il decorso dei quindici giorni previsti dalle citate disposizioni del Codice.

è stata altresì richiamata più volte l´attenzione degli interessati sul disposto dell´art. 5, comma 3, del Codice secondo il quale "il trattamento dei dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all´applicazione del (…) Codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione". Ciò ha reso inammissibile la presentazione di ricorsi incentrati su ipotesi di trattamento di dati relativi, ad esempio, a controversie fra vicini per installare impianti di sorveglianza (Provv. 19 ottobre 2005 [doc. web n. 1191132]), ferma restando l´applicazione del Codice quando il trattamento è risultato effettuato nell´ambito di un´attività professionale ed economica (Provv. 27 ottobre 2005 [doc. web n. 1195275]).

Infine, qualche breve annotazione statistica: nel corso dell´anno solare 2005, come evidenziato anche nelle tabelle riportate in altra parte della presente Relazione, il Garante ha definito la trattazione di 634 ricorsi.

18.3. Brevi cenni sulla casistica

Come in passato, si offre in questo paragrafo una succinta sintesi sui principali temi affrontati con le decisioni in materia di ricorsi, rimandando alle altre parti della relazione per l´ulteriore esame di alcune problematiche sottese alle decisioni stesse.

Il provvedimento del Garante ha esaminato le implicazioni della conoscibilità via Internet di tali provvedimenti (specie in relazione alla possibilità di rinvenire agevolmente tali informazioni tramite l´utilizzo di motori di ricerca). Tale forma di diffusione dei dati può comportare infatti un sacrificio sproporzionato dei diritti dell´interessato, specie quando si tratta di provvedimenti risalenti nel tempo e che hanno raggiunto le finalità perseguite.

La questione affrontata nel caso di specie è risultata particolarmente delicata, richiedendo il contemperamento fra il dovere di informazione da parte di organi pubblici sulla propria attività, il diritto degli utenti e dei consumatori di conoscere l´esito di determinati provvedimenti sanzionatori e le non convergenti aspettative dei soggetti cui si riferiscono i dati "sanzionatori" diffusi. Con la decisione adottata, il Garante ha tra l´altro riconosciuto il pieno diritto-dovere dell´Antitrust di continuare a pubblicare i propri provvedimenti sul relativo sito web, modulando però nel tempo il periodo entro il quale le decisioni del tipo di quella in questione potranno essere direttamente individuabili nel sito Internet dell´Autorità tramite motori di ricerca esterni al sito stesso (non è stato posto in discussione un sistema di ricerca rapida delle decisioni all´interno del medesimo sito).

In un diverso caso, esaminato con decisione del 19 maggio 2005 [doc. web n. 1151205], l´Autorità ha invece constatato come non fosse giustificata da un idoneo presupposto normativo la diffusione indifferenziata, tramite il sito Internet dell´Autorità per la vigilanza sui lavori pubblici, di alcune specifiche informazioni contenute nel "Casellario informatico delle imprese qualificate". Per espressa limitazione derivante dalla specifica disciplina applicabile al caso di specie, tali dati devono essere resi agevolmente disponibili, ma solo alle stazioni appaltanti, e non possono essere invece oggetto di una diffusione indifferenziata in rete (v. amplius par. 2.5).

Le citate fattispecie, venute ad evidenza in conseguenza delle straordinarie potenzialità diffusive della rete Internet e dei meccanismi di "navigazione" nella stessa, hanno così fatto emergere prepotentemente e il tema del "diritto all´oblìo" e della sua declinazione nel presente quadro tecnologico.

Con altre decisioni (in particolare, quelle del 16 giugno 2005 [doc. web n. 1149999] e del 21 dicembre 2005 [doc. web n. 1217532]), sono stati esaminati nuovamente i profili concernenti l´accesso ai dati personali di dipendenti di pubbliche amministrazioni; ciò, richiamando le corrette modalità di riscontro a tali istanze delineate dall´art. 10 del Codice e le linee differenziali rispetto al diritto di accesso ad atti e documenti amministrativi disciplinato dalla l. n. 241/1990.

Sempre con riferimento a problematiche concernenti impiegati pubblici va ricordato il provvedimento del 30 novembre 2005 [doc. web n. 1215256] con cui è stata esaminata una vicenda relativa alla lamentata diffusione di dati personali sensibili a seguito dell´affissione di una determinazione dirigenziale all´albo pretorio di un Comune. Con provvedimento del 21 dicembre 2005 [doc. web n. 1219054] l´attenzione è stata invece rivolta allo svolgimento di un procedimento disciplinare, sempre nell´ambito di un´amministrazione comunale.

I casi in cui i dati personali degli interessati sono stati oggetto di comunicazione ad altri soggetti pubblici o a privati, nonché le ipotesi di diffusione dei medesimi dati (a mezzo affissione all´albo pretorio, pubblicazione a stampa, divulgazione tramite la rete Internet, ecc.), sono stati, quindi, le principali ipotesi che hanno formato oggetto del contenzioso dinanzi all´Autorità in relazione all´attività degli enti pubblici. Ciò, a conferma della particolare sensibilità degli interessati per quelle operazioni di trattamento (comunicazione e diffusione appunto) che moltiplicano le potenzialità lesive di un eventuale uso illecito dei dati.

I ricorsi proposti nei confronti dei gestori dei Sic hanno dato luogo spesso a decisioni molto articolate, soprattutto in presenza di numerose posizioni segnalate nelle  relative banche dati dei Sic, riferite a prestiti, mutui, carte di credito a saldo o rateali, ecc.

Occorre infatti discernere fra posizioni "positive" (relative a finanziamenti regolari di cui è possibile chiedere la cancellazione previa revoca del consenso al trattamento dei relativi dati) e "negative" (per le quali opera il già richiamato provvedimento sul bilanciamento degli interessi e che possono essere conservate negli archivi dei Sic nel rispetto dell´articolata tempistica che il codice deontologico ha delineato).

Il soggetto più antico operante nel settore è, come noto, la "centrale rischi" gestita dalla Banca d´Italia, istituita già nel 1964 per raccogliere le segnalazioni relative ai finanziamenti di importo pari o superiore attualmente a euro 75.000 e ai crediti in "sofferenza". Nei confronti di tale soggetto (art. 8, comma 2, lett. d), del Codice), non è però esperibile il ricorsoex art. 145 del Codice, pur rimanendo la possibilità di proporre una segnalazione all´Autorità. Ciò spiega perché alcuni ricorsi pervenuti in ordine a tali trattamenti siano stati dichiarati inammissibili.

Le istanze rivolte ex art. 7, e gli eventuali, successivi ricorsi, possono essere invece proposti nei confronti dei trattamenti effettuati presso "la centrale rischi di importo contenuto" gestita, in conformità alle istruzioni della Banca d´Italia, da S.i.a. S.p.A. cui possono essere rivolte le istanze citate.

Con riferimento ai finanziamenti di più limitato importo ricadenti prevalentemente nel novero del credito al consumo operano, infine, le già indicate disposizioni sui Sic, soggetti rispetto ai quali, come detto, si è concentrato in maggior misura il contenzioso su ricorso del 2005.

Tipologicamente diverso è invece il fenomeno (oggetto di attenzione in numerosi ricorsi) della conservazione in appositi archivi distinti da quelli relativi ai Sic, di altri tipi di informazioni quali dati personali tratti dai registri immobiliari e dagli archivi delle ex-conservatorie, ai quali si applica quindi il disposto dell´art. 24, comma 1, lett. c), del Codice.

A tale riguardo (nei numerosi casi che hanno riguardato richieste di cancellazione rivolte a Crif S.p.A.) l´Autorità ha preso atto della già avvenuta sospensione della loro visualizzazione nella banca dati, anche in relazione alle intervenute modifiche legislative concernenti i nuovi presupposti (oggetto peraltro di ampio contenzioso giudiziario) per la riutilizzazione commerciale di tali dati di cui all´art. 1, commi 368/371, l. n. 311/2004, nonché all´art. 1, comma 5, d.l. 10 gennaio 2006, n. 2, convertito con l. 11 marzo 2006, n. 81.

19. Contenzioso giurisdizionale

19.1. Considerazioni generali

Come già osservato nella Relazione   2004 (p. 118), l´art. 152 del Codice ha introdotto nel sistema processuale italiano un procedimento a cognizione ordinaria, volto alla tutela giurisdizionale del diritto alla protezione dei dati personali e connotato da una procedura snella, capace di fornire al diritto alla riservatezza una tutela specifica e tempestiva.

L´opportunità di tale impianto normativo ha avuto riscontro nel numero delle azioni proposte direttamente avanti all´autorità giudiziaria, in via alternativa al ricorso presentato in sede amministrativa al Garante. Nel corso del 2005 si è registrata la notifica al Garante, secondo quanto prescritto dal comma 7 dell´art. 152 del Codice, di un numero di ricorsi all´autorità giudiziaria, non coinvolgenti direttamente pronunce dell´Autorità, significativamente superiore a quello registrato nell´anno precedente: a fronte di trentadue controversie introdotte nel 2004, infatti, nel 2005 sono stati notificati al Garante settantaquattro ricorsi, con un incremento quantitativo superiore al 120%.

La crescita dei ricorsi avanti l´autorità giudiziaria, e delle relative decisioni, attribuiscono sicuro rilievo a due novità introdotte dal Codice. L´obbligo imposto dal citato comma 7 di notificare al Garante i ricorsi presentati all´autorità giudiziaria concernenti tutte le controversie relative all´applicazione del Codice (non solo di quelle in cui sia proposta opposizione avverso i provvedimenti dell´Autorità), unitamente alla trasmissione, a cura delle cancellerie, di copia dei provvedimenti emessi a definizione dei relativi giudizi o in materia di criminalità informatica (art. 154, comma 6), consentono al Garante, oltre che di intervenire nelle controversie in cui, pur non essendo direttamente coinvolto, sono in discussione profili di carattere generale, di avere un´ampia informazione sull´evoluzione della giurisprudenza nella materia. Ciò anche al fine di adottare eventuali provvedimenti amministrativi e di segnalare al Parlamento e al Governo gli interventi normativi opportuni per tutelare i diritti e le libertà fondamentali correlati alla protezione dei dati (art. 154, comma 1, lett. f), del Codice).

19.2. Profili procedurali

L´art. 152 del Codice ha ribadito che tutte le controversie riguardanti l´applicazione del Codice sono devolute all´autorità giudiziaria ordinaria, precisando che l´azione deve proporsi con ricorso da depositarsi "nella cancelleria del tribunale del luogo ove risiede il titolare del trattamento" (comma 2): nel 2005 si sono però registrati ancora alcuni casi di mancato rispetto del dettato normativo.

19.3. Profili di merito

Giova in primo luogo ricordare due casi particolarmente significativi, costituiti da decisioni assunte in sede di opposizione a provvedimenti del Garante, che hanno confermato orientamenti di merito sempre sostenuti dall´Autorità.

Con riferimento alle vicende (che hanno dato origine in passato a decisioni contrastanti dell´autorità giudiziaria) relative alla riconducibilità delle valutazioni alla nozione di "dato personale" fornita dalla l. n. 675/1996 e ribadita dal Codice, il Tribunale di Roma, facendo seguito ad una sua precedente analoga decisione, e confermando il provvedimento con cui il Garante aveva ordinato ad una compagnia di assicurazioni di comunicare all´interessato i dati personali, anche di natura valutativa, contenuti in una perizia medico-legale finalizzata alla quantificazione del risarcimento del danno, ha riconosciuto che l´interessato può esercitare il diritto di accesso ai dati personali che lo riguardano anche con riferimento a dati valutativi e, in particolare, alle valutazioni espresse in perizie medico-legali (sentenza n. 1832 del 25 gennaio 2006).

Merita di essere sottolineato che alla questione della riconducibilità dei dati valutativi alla nozione di "dato personale" il legislatore ha dedicato, dopo l´iniziale contenzioso sorto, una specifica disciplina attraverso la soluzione adottata nell´art. 8, comma 4, del Codice.

In altra fattispecie, concernente l´opposizione al provvedimento con cui il Garante, facendo seguito a precedenti decisioni di analogo tenore, ha vietato alla società editrice di un quotidiano l´ulteriore diffusione di fotografie di persone sottoposte a misure restrittive della libertà personale, il Tribunale di Milano, con sentenza n. 12746 del 9 novembre 2004 ha statuito che le foto segnaletiche rientrano nelle immagini indicative e riproduttive dello stato di detenzione del soggetto, quindi non pubblicabili perché idonee a lederne la dignità.

Infine, deve segnalarsi che, con la sentenza n. 14390 del 2005, la Corte di Cassazione ha riaffermato la necessità per i soggetti pubblici di adottare, nei casi previsti dall´art. 20, comma 2, del Codice, gli atti di natura regolamentare che specifichino i tipi di dati sensibili e le operazioni eseguibili, per procedere lecitamente al trattamento dei dati sensibili.

19.4. Opposizione ai provvedimenti del Garante

Il 2005 ha registrato quindici opposizioni ad altrettanti provvedimenti del Garante, quattordici delle quali hanno riguardato decisioni adottate su ricorso. In un caso, l´opposizione è stata proposta nei confronti della pronuncia dell´Autorità avente ad oggetto la disciplina dei nuovi elenchi telefonici. L´Autorità si è sempre costituita in questi giudizi.

Quattro opposizioni, di identico tenore, sono state proposte da due società che svolgono attività nel settore della riutilizzazione a fini commerciali dei dati acquisiti dagli archivi catastali o dai pubblici registri immobiliari, tenuti dagli uffici dell´Agenzia del territorio. La materia è stata innovata dalla l. n. 311/2004 (legge finanziaria 2005), che al comma 371 dell´art. 1 ha vietato tale riutilizzazione –precedentemente libera–, salva la stipula di apposite convenzioni con l´Agenzia. In conseguenza di detta innovazione il Garante, nelle more dell´adozione del codice deontologico per il trattamento dei dati personali provenienti da archivi, registri, elenchi, atti o documenti tenuti da soggetti pubblici (art. 61 del Codice), cui le convenzioni dovranno ispirarsi, ha accolto i ricorsi con i quali gli interessati avevano chiesto la cancellazione delle informazioni che li riguardavano, conservate presso dette società.

Si deve rilevare che la nuova normativa non ha ancora ricevuto univoca interpretazione da parte della giurisprudenza. Le due opposizioni finora definite hanno infatti registrato esiti contraddittori; nel primo caso il provvedimento del Garante è stato confermato, mentre nell´altro è stato annullato.

Per quanto riguarda le altre opposizioni presentate nel 2005 e quelle relative anche ad anni precedenti, della cui pendenza si è dato conto nella Relazione 2004 (p. 121), le decisioni dell´autorità giudiziaria hanno tutte confermato le pronunce dell´Autorità.

In particolare, è stato confermata la validità delle determinazioni adottate con il provvedimento del Garante di divieto all´Inail del trattamento di dati contenuti nei certificati medici, acquisiti dall´Istituto al di fuori delle ipotesi normativamente consentite, nell´ambito della procedura avviata dall´assicurata per il riconoscimento di malattia professionale (Tribunale di Genova, sentenza n. 4982 del 22 dicembre 2005).

In tre occasioni, hanno trovato conferma i provvedimenti con i quali l´Autorità ha ordinato ad alcuni istituti di credito di comunicare i dati richiesti, negati perché relativi a rapporti bancari intrattenuti da persone defunte di cui gli interessati erano eredi o perché subordinati al pagamento di una somma di denaro richiesta ai sensi dell´art. 119 d.lg. n. 385/1993. In questa seconda decisione è stato ribadito, in particolare, che l´esercizio dei diritti attribuiti dal Codice in materia di dati personali è gratuito e non può essere confuso con il diverso diritto di ottenere copia della documentazione bancaria, condizionato al rispetto delle norme poste dal citato d.lg. n. 385/1993.

Sono state parimenti respinte due opposizioni, presentate da altrettante amministrazioni locali, nei confronti di decisioni con le quali il Garante ha censurato, in termini di mancato rispetto del principio di pertinenza, la pubblicazione nell´albo pretorio di deliberazioni contenenti dati anche sensibili degli interessati.

Ancora in senso favorevole all´Autorità, oltre alle già citate opposizioni in materia di diffusione di fotografie di persone sottoposte a misure restrittive della libertà personale e in tema di accesso ai dati valutativi, si è conclusa l´opposizione proposta dall´amministratore di una società il quale aveva chiesto il blocco dei dati del casellario giudiziale che lo riguardavano, acquisiti da un ente pubblico, che in base ad essi aveva escluso la società da una gara d´appalto (Tribunale di Padova, sentenza n. 2454 del 16 settembre 2004). Nei confronti della sentenza è stato proposto ricorso in Cassazione.

È giunto a positiva conclusione per il Garante anche il giudizio introdotto dal ricorso presentato dinanzi al giudice ordinario da Rai S.p.A. e dall´Agenzia delle entrate contro il provvedimento adottato il 5 dicembre 2001 [doc. web n. 40405] in materia di canone televisivo. Con tale decisione, confermata dal Tribunale di Roma con sentenza n. 10802 del 29 aprile 2005, l´Autorità ha segnalato a Rai S.p.A., individuata quale responsabile del trattamento per conto dell´amministrazione finanziaria, la necessità di interrompere la raccolta, e di astenersi da ogni ulteriore trattamento dei dati personali degli acquirenti in carenza di presupposti giuridici idonei a legittimare la raccolta e il successivo trattamento dei dati stessi.

Infine, va ricordata la già menzionata ordinanza del 25 maggio 2005 con cui il Tribunale amministrativo del Lazio ha respinto la domanda di sospensione del provvedimento del Garante del 15 luglio 2004 concernente l´individuazione delle modalità di inserimento e di successivo utilizzo dei dati personali relativi agli abbonati negli elenchi telefonici cartacei o elettronici.

19.5. Intervento del Garante in giudizi relativi all´applicazione del Codice

Come già riferito, nel 2005 si è registrata la notifica al Garante di settantaquattro ricorsi all´autorità giudiziaria, non coinvolgenti direttamente pronunce dell´Autorità (art. 152, comma 7, del Codice).

A tale proposito occorre evidenziare che il Garante, conformemente agli indirizzi giurisprudenziali e al parere espresso dall´Avvocatura generale dello Stato –che si è pronunciata in termini favorevoli alla costituzione in giudizio del Garante, ritenendo essenziale che l´Autorità possa far valere le proprie ragioni, a tutela unicamente dell´interesse pubblico, tenendo conto delle sue specifiche e caratteristiche funzioni–, ha deciso di delimitare la propria presenza attiva in giudizio ai soli casi in cui sorge, o può sorgere, la necessità di difendere o comunque far valere particolari questioni di diritto. Ciò, pur continuando a seguire con attenzione tutti i contenziosi.

In questo quadro, l´Autorità, laddove non ha ritenuto opportuno intervenire, ha pregato i competenti uffici dell´Avvocatura generale dello Stato di seguire periodicamente le vicende processuali.

Per sei ricorsi che le sono stati notificati l´Autorità ha ritenuto opportuno costituirsi. In particolare, si è trattato di tre casi –cui si è fatto già riferimento– nei quali è stato adito il Giudice di pace di Taranto. Si è ritenuto che la questione investisse un aspetto generale relativo alla corretta applicazione del Codice, con particolare riferimento alla individuazione nel tribunale ordinario del giudice competente a trattare la materia.

Uno dei casi di costituzione si è avuto in una causa nella quale il ricorrente ha esposto di essere raggiunto sul proprio telefono portatile da messaggi pubblicitari per la cui ricezione non aveva fornito il preventivo assenso. In questo caso l´Autorità ha inteso ribadire i principi già affermati nel proprio provvedimento di carattere generale adottato in tema di invio di Sms pubblicitari promozionali il 10 giugno 2003 [doc. web n. 29836], con il quale ha inteso fornire agli operatori indicazioni necessarie per conformare il trattamento dei dati personali alla disciplina vigente.

Al fine di ribadire principi più volte espressi, il Garante ha ritenuto necessario costituirsi in due giudizi nei quali si verte in tema di accesso, rispettivamente dell´erede (ai dati relativi a rapporti bancari del de cuius) e dell´infortunato (alle informazioni di natura valutativa che lo riguardano contenute in una perizia medico-legale).