PRESUPPOSTI E MODALITÀ DEL TRATTAMENTO - Titolare, responsabile, incaricato - Profili generali
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
Il riferimento alla "persona fisica", che compare nella definizione del "titolare" contenuta nell'art. 1 della legge n. 675/1996, alla luce del tenore letterale della disposizione, non riguarda coloro che amministrano o rappresentano la persona giuridica o la pubblica amministrazione, bensì gli individui che effettuano un trattamento di dati a titolo personale (es.: un libero professionista) e che assumono individualmente la piena responsabilità di un'attività che va distinta nettamente da quella che singole persone fisiche possono coordinare nell'ambito e nell'interesse di una persona giuridica. In quest'ultimo caso, titolare deve essere quindi considerata l'entità nel suo complesso (es.: la società, il ministero, ecc.), quale soggetto cui competono le scelte di fondo in ordine alla raccolta ed alla utilizzazione dei dati, e non taluna delle persone fisiche che operano nella relativa struttura e che concorrono ad esprimerne la volontà; tali soggetti possono semmai, ricorrendone le condizioni, assumere la qualifica di "responsabile" (art. 8 della legge n. 675/1996). Ciò, peraltro, non esclude che possano essere considerate "titolari" - o contitolari - dei trattamenti complesse unità organizzative (quali direzioni generali o aree), interne alla complessiva struttura, ove queste esercitino un potere decisionale reale e del tutto autonomo sulle finalità e sulle modalità dei trattamenti effettuati nel proprio ambito.
Garante 9 dicembre 1997, in Bollettino n. 2, pag. 44 [doc. web n. 30915]
Ai sensi dell'art. 1, comma 2, lett. d) della L. 675/1996, il "titolare" è la persona fisica o giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione o organismo cui competono le scelte di fondo sulle finalità e sulle modalità del trattamento dei dati, anche per ciò che riguarda la sicurezza.
Garante 10 giugno 1998, in Bollettino n. 5, pag. 36 [doc. web n. 41794]
Ai sensi del d.P.R. n. 600/1973, come modificato dal d.lg. n. 135/1998, e della convenzione stipulata fra il Ministero delle finanze e l'A.B.I., le società specializzate eventualmente incaricate dagli istituti di credito di trattare le informazioni contenute nelle dichiarazioni dei redditi dei contribuenti, allo scopo di predisporle in formato elettronico per il successivo inoltro al Ministero, non possono essere considerate quali autonomi titolari del trattamento; gli istituti di credito debbono quindi procedere alla nomina del responsabile e delle persone fisiche incaricate di trattare le dichiarazioni.
Garante 7 luglio 1998, in Bollettino n. 5, pag. 35 [doc. web n. 40377]
Ove il privato, che collabori con il soggetto pubblico e che svolga compiti che comportino anche attività di trattamento di dati personali, operi nell'ambito di un'attività che ricade nella sfera di titolarità e responsabilità dell'amministrazione, quest'ultima, quale titolare del trattamento dei dati, deve indicare, con atto scritto, il soggetto che svolga l'eventuale ruolo del "responsabile" del trattamento svolto per suo conto dal privato (art. 8 della legge n. 675/1996), da individuarsi nella stessa struttura esterna cui è affidata l'attività, o in un dipendente di questa, oppure in un ufficio o dipendente dell'amministrazione. In ogni caso, è necessario che i dipendenti della struttura privata operino in qualità di "incaricati del trattamento", sotto la diretta sorveglianza e secondo le istruzioni del titolare/soggetto pubblico e del responsabile (artt. 8, comma 5, e 19 della legge n. 675/1996) (fattispecie attinente al trattamento dei dati personali svolto da società incaricate da amministrazioni comunali di effettuare misurazioni presso abitazioni private, con autonomia limitata alla sola concreta disciplina del servizio e ad alcune scelte tecnico-operative, al fine dell'accertamento della tassa di smaltimento dei rifiuti solidi urbani, disciplinata dal d.lg. n. 507/1993).
Garante 29 luglio 1998, in Bollettino n. 5, pag. 54 [doc. web n. 31023]
Nello svolgimento dei propri compiti istituzionali, i soggetti pubblici possono ricorrere alla collaborazione di privati, cui affidare determinate attività anche attraverso concessioni, appalti o convenzioni. In tali ipotesi, con riferimento alla problematica relativa al trattamento dei dati personali, il privato può assumere il ruolo di collaboratore esterno del soggetto pubblico, che coadiuva l'amministrazione trattando i dati anche al di fuori della relativa struttura, ma nell'ambito di un'attività che ricade nella sfera di titolarità e responsabilità dell'amministrazione, la quale conserva la qualità di titolare del trattamento, oppure può rivestire una figura del tutto distinta da questa, che decide autonomamente in ordine al trattamento delle informazioni ed assume le relative responsabilità, assumendo esso stesso la veste di titolare del trattamento. Nel primo caso, il privato è parte sostanziale della struttura pubblica e rimane quindi soggetto alla disciplina che la legge n. 675/1996 detta per i soggetti pubblici, nel secondo esso va considerato soggetto autonomo che tratta i dati secondo le regole previste dalla stessa legge per i privati (fattispecie attinente al trattamento dei dati personali svolto da società incaricate da amministrazioni comunali di effettuare misurazioni presso abitazioni private al fine dell'accertamento della tassa di smaltimento dei rifiuti solidi urbani, disciplinata dal d.lg. n. 507/1993).
Garante 29 luglio 1998, in Bollettino n. 5, pag. 54 [doc. web n. 31023]
Il titolare del trattamento deve informare l'interessato circa il fatto che i dati personali che lo riguardano possono essere comunicati, in conformità della legge n. 675/1996, ad un terzo preposto ad elaborazioni finalizzate all´adempimento degli obblighi contabili, fiscali, retributivi, previdenziali ed assistenziali gravanti sul titolare stesso. Con tale informativa, il titolare deve specificare se il terzo svolge le predette elaborazioni nella veste di responsabile del trattamento (art. 8) oppure come autonomo titolare che effettua un distinto trattamento di dati (fattispecie concernente centri elaborazione dati gestiti da società di consulenza informatica, professionisti, associazioni ed altri organismi che elaborano per conto terzi dati inerenti a clienti, fornitori e dipendenti, a fini di gestione amministrativa e contabile).
Garante 26 novembre 1998, in Bollettino n. 6, pag. 81 [doc. web n. 39624]
Rivestono la qualità di "incaricati del trattamento" i privati/persone fisiche che ricevono da un soggetto pubblico (attraverso un provvedimento amministrativo o una convenzione) l'incarico del trattamento di dati personali connesso all'espletamento dei compiti istituzionali dell'amministrazione, da svolgersi sotto la diretta sorveglianza e secondo le istruzioni di questa, che conserva la qualità di "titolare del trattamento", e che non comporti decisioni di fondo sulle finalità e sulle modalità di utilizzazione dei dati, ma limitati margini di autonomia in ordine al concreto svolgimento del servizio ed a scelte tecnico-operative. Nell'ambito di tale configurazione del rapporto, il privato è legittimato ad utilizzare i dati in possesso della struttura pubblica, rimanendo però vincolato ad usarli per le sole finalità perseguite dall'amministrazione e sulla base del particolare regime previsto per quest'ultima (fattispecie relativa al trattamento, operato da laboratori fotografici, di dati personali dei contravventori alle disposizioni in tema di limiti di velocità, desunti dalla documentazione fotografica ottenuta con apparecchiature del tipo autovelox).
Garante 19 dicembre 1998, in Bollettino n. 6, pag. 75 [doc. web n. 40313]
Secondo la legge n. 675/1996, per "titolare" deve intendersi la persona fisica o giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le scelte di fondo sulle finalità e sulle modalità del trattamento dei dati personali, anche sotto il profilo della loro sicurezza.
Garante 16 febbraio 1999, in Bollettino n. 7, pag. 31 [doc. web n. 40627]
Ai sensi dell'art. 19 della legge n. 675/1996, gli "incaricati del trattamento", previamente individuati per iscritto e che operano sotto la "diretta autorità" del titolare o del responsabile, attuandone le istruzioni, non possono essere considerati quali "terzi" ai fini dell'applicazione delle disposizioni sulla protezione dei dati personali, sia che operino all´interno dell'ordinaria struttura del titolare, sia che coadiuvino il titolare stesso operando presso un centro esterno.
Garante 8 giugno 1999, in Bollettino n. 9, pag. 58 [doc. web n. 42260]
Possono essere designati quali "incaricati del trattamento" solo ed esclusivamente le persone fisiche e non anche le entità personificate che, invece, ai sensi dell'art. 1, comma 2, lett. e) della legge n. 675/1996, possono rivestire la qualità di "responsabile del trattamento" (con tale parere il Garante ha evidenziato la possibilità di nominare quale responsabile del trattamento, e non quale incaricata, una società esterna fornitrice dei servizi concernenti la stampa e l'elaborazione dei cedolini di stipendio dei dipendenti del titolare).
Garante 8 giugno 1999, in Bollettino n. 9, pag. 58 [doc. web n. 42260]
La società titolare del trattamento, cui l'interessato, in sede di esercizio dei diritti di cui all'art. 13 della legge n. 675/1996, abbia richiesto di conoscere gli estremi identificativi del responsabile, non può limitarsi ad indicare la carica ricoperta da questo soggetto - nella specie, l'amministratore delegato pro tempore -, ma deve precisare gli elementi atti ad individuare la persona fisica o l'organismo che riveste tale ruolo (generalità, residenza o sede).
Garante 9 dicembre 1999, in Bollettino n. 10, pag. 48 [doc. web n. 42300]
In assenza di una formale designazione come incaricati del trattamento, i dipendenti delle pubbliche amministrazioni che, per lo svolgimento dei propri compiti, vengono a conoscenza di dati personali, devono essere considerati come soggetti terzi rispetto alle amministrazioni stesse, con conseguenti rilevanti limiti per la comunicazione e l´utilizzazione dei dati e quindi per la liceità del trattamento. Tale designazione è, infatti, indispensabile, in quanto permette di considerare legittimo il flusso delle informazioni personali nell'ambito degli uffici e tra i dipendenti dell'amministrazione titolare del trattamento (v. art. 19 della legge n. 675/1996).
Garante 23 maggio 2000, in Bollettino n. 13, pag. 21 [doc. web n. 40229]
Il titolare del trattamento deve sempre fornire riscontro alla richiesta dell'interessato di conoscere l'eventuale nomina di uno o più responsabili del trattamento. Qualora abbia provveduto a tale designazione, deve fornire i relativi estremi identificativi.
Garante 19 giugno 2002, in Bollettino n. 29, pag. 67 [doc. web n. 30008]
Garante 25 giugno 2002, in Bollettino n. 29, pag. 64 [doc. web n. 1065714]
Garante 25 giugno 2002, in Bollettino n. 29, pag. 75 [doc. web n. 29864]
L'interessato deve sempre individuare specificamente il soggetto, titolare del trattamento denunciato, nei cui confronti il ricorso è presentato. In difetto, il ricorso va dichiarato inammissibile.
Garante 25 giugno 2002, in Bollettino n. 29, pag. 45 [doc. web n. 1065639]
Assume il ruolo di "titolare" qualunque soggetto che operi il trattamento di dati personali, a prescindere dalla circostanza di disporre di archivi strutturati (cartacei o automatizzati). A detto trattamento si applica la normativa sulla protezione dei dati personali.
Garante 25 giugno 2002, in Bollettino n. 29, pag. 71 [doc. web n. 29856]
Il titolare del trattamento a fronte di una richiesta di conoscere gli estremi identificativi del responsabile è tenuto a fornire riscontro, anche negativo, circa l'intervenuta nomina.
Garante 18 luglio 2002, in Bollettino n. 30, pag. 132 [doc. web n. 1065969]
Nel caso in cui il titolare del trattamento, per ragioni organizzative, abbia nominato più responsabili deve rispondere alla richiesta di conoscere gli estremi identificativi del responsabile designato mettendo a disposizione del richiedente un elenco completo e aggiornato.
Garante 18 luglio 2002, in Bollettino n. 30, pag. 151 [doc. web n. 1066001]
Il titolare del trattamento deve sempre fornire risposta, anche se negativa, alla richiesta dell'interessato di conoscere gli estremi identificativi del responsabile del trattamento eventualmente designato.
Garante 16 settembre 2002, in Bollettino n. 31, pag. 43 [doc. web n. 1066195]
Qualora l'interessato, lamentando la ricezione al proprio indirizzo di posta elettronica di un messaggio indesiderato di natura promozionale, chieda al titolare alcune informazioni sul trattamento effettuato, opponendosi nel contempo all'ulteriore utilizzazione dell'indirizzo, l'invio di una nuova e-mail contenente la risposta alle richieste non integra un comportamento illecito del titolare, bensì una scelta volta a semplificare le modalità per un riscontro immediato all'interessato, come specificamente imposto dalla normativa di tutela dei diritti degli interessati.
Garante 30 settembre 2002, in Bollettino n. 31, pag. 150 [doc. web n. 1066401]
Il titolare del trattamento di dati effettuato da una società è questa nel suo complesso, non la persona fisica del dirigente.
Garante 25 ottobre 2002, in Bollettino n. 32, pag. 115 [doc. web n. 1066663]
Il titolare del trattamento può designare, per esigenze organizzative, uno o più soggetti responsabili assegnando loro specifici compiti (nel caso di specie una società di telecomunicazioni aveva nominato responsabile del trattamento un'altra società affidandole il servizio di recupero crediti stragiudiziale).
Garante 24 gennaio 2003 [doc. web n. 1067875]
La società di assicurazione ed il suo legale che producano in giudizio documenti a fini di difesa sono autonomi titolari del trattamento (nella specie erano state depositate, tra l'altro, perizie medico-legali redatte in occasione di un precedente incidente stradale liquidato da una diversa società assicurativa).
Garante 3 aprile 2003 [doc. web n. 1075388]
Ove richiesta dall´interessato, l'indicazione circa la nomina del responsabile del trattamento è sempre dovuta dal titolare, anche se negativa. In difetto di riscontro, il ricorso sul punto va accolto con l'ordine di comunicare gli estremi identificativi del responsabile, se designato.
Garante 29 ottobre 2003 [doc. web n. 1082619]
Il titolare del trattamento deve non solo adempiere senza ritardo ed in maniera esauriente alle - fondate - richieste dell'interessato (ad esempio, di rettifica, aggiornamento o cancellazione dei dati], ma è tenuto anche a dargliene riscontro tempestivo, entro il termine previsto per la risposta all'istanza preventiva (o, quantomeno, prima della proposizione del ricorso al Garante). Ove l'interessato non riceva il riscontro dell'avvenuto adempimento, è giustificato il successivo ricorso all'Autorità, e la conseguente condanna del titolare al rimborso, anche parziale, delle spese del procedimento definito con declaratoria di non luogo a provvedere.
Garante 29 ottobre 2003 [doc. web n. 1082666]
Il titolare del trattamento deve non solo adempiere senza ritardo ed in maniera esauriente alle – fondate – richieste dell'interessato (nella specie, di cancellazione dei dati], ma è tenuto anche a dargliene riscontro tempestivo, entro il termine previsto per la risposta all´istanza preventiva (o, quantomeno, prima della proposizione del ricorso al Garante). Ove l'interessato non riceva il riscontro dell'avvenuto adempimento, è giustificato il successivo ricorso all'Autorità, e la conseguente condanna del titolare al rimborso, anche parziale, delle spese del procedimento definito con declaratoria di non luogo a provvedere.
Garante 2 dicembre 2003 [doc. web n. 1084570]
Il titolare del trattamento può dare riscontro alle richieste formulate dall'interessato, a norma delle disposizioni poste a tutela della protezione dei dati personali, anche per mezzo del responsabile designato. Ne consegue che va definito con una declaratoria di non luogo a provvedere il ricorso al Garante proposto nei confronti del soggetto titolare del trattamento, nel caso in cui questi risponda esaurientemente all'invito ad aderire, formulatogli nel corso del procedimento, per il tramite del suo responsabile.
Garante 9 dicembre 2003 [doc. web n. 1085738]
Il titolare del trattamento deve sempre fornire risposta alla richiesta dell'interessato di conoscere l'identità del responsabile eventualmente designato, anche ove abbia già provveduto a cancellare i dati personali dell'interessato stesso. In difetto, il ricorso al Garante sul punto va accolto.
Garante 29 dicembre 2003 [doc. web n. 1084836]
Fonte: Autorità Garante - Massime tratte dai volumi:
"Massimario 1997 - 2001. I principi affermati dal Garante nei primi cinque anni di attività" | "Massimario 2002" | "Massimario 2003"