|
Pubblica amministrazione -
Infermità da causa di servizio, pensioni privilegiate ed equo
indennizzo - 3 maggio 2001.
Il garante per la protezione dei
dati personali: nella riunione odierna, in presenza del prof.
Stefano Rodotà, presidente, del prof. Giuseppe Santaniello,
vice-presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan,
componenti e del dott. Giovanni Buttarelli, segretario
generale;
Vista la nota della Presidenza del
Consiglio dei ministri dell'8 marzo 2001 con la quale è stato
chiesto il parere del Garante in ordine ad uno schema di
regolamento di semplificazione di alcuni procedimenti in materia
previdenziale;
Viste le osservazioni formulate dal segretario generale ai sensi
dell'art. 15 del regolamento del Garante n. 1/2000 adottato con
deliberazione n. 15 del 28 giugno 2000 e pubblicato sulla Gazzetta
Ufficiale della Repubblica italiana n. 162 del 13 luglio
2000;
Relatore il prof. Stefano Rodotà;
OSSERVA
La Presidenza del Consiglio dei
ministri ha richiesto il parere del Garante in ordine ad uno schema
di regolamento di semplificazione dei procedimenti per il
riconoscimento della dipendenza delle infermità da causa di
servizio, per la concessione della pensione privilegiata ordinaria
e dell'equo indennizzo a militari e a dipendenti delle pubbliche
amministrazioni.
Il procedimento amministrativo previsto può richiedere il
trattamento di dati "sensibili", attinenti in particolare allo
stato di salute, e persegue finalità considerate dalla legge di
rilevante interesse pubblico (art. 9 d.lg. 11 maggio 1999, n. 135).
Di conseguenza tali dati possono essere trattati solo in presenza
di un atto normativo di rango almeno regolamentare che individui e
renda pubblici i tipi di dati e le operazioni di trattamento (art.
22, comma 3-bis, legge n. 675/1996; art. 5 d.lg. n.
135/1999).
Devono essere quindi soppressi i commi 5 e 6, secondo periodo,
ultima parte, dell'art. 4 dello schema in esame, i quali prevedono
erroneamente la prestazione del consenso dell'interessato che non
deve essere invece richiesto dalle pubbliche amministrazioni
(mentre l'eventuale opposizione al trattamento resta disciplinata
dall'art. 13 della legge n. 675/1996).
Deve essere invece introdotta nello schema una disposizione
applicabile a tutti gli uffici ed amministrazioni interessati al
provvedimento, che individui quantomeno le tipologie di dati e le
operazioni effettuabili. Analogamente a quanto di recente previsto
dall'art. 8 del d.P.C.M. 21 dicembre 2000, n. 452, in tema di
assegni di maternità e per il nucleo familiare, tale disposizione
potrebbe essere introdotta con una formula di tenore analogo al
seguente:
- "In applicazione dell'art. 22, comma 3-bis, della legge n.
675/1996, il presente articolo identifica i tipi di dati sensibili
e di operazioni strettamente pertinenti e necessari in relazione
alle finalità perseguite. Gli uffici e gli organismi interessati
all'applicazione del presente regolamento possono trattare, nei
casi ivi previsti, i dati personali idonei a rivelare lo stato di
salute dei richiedenti. Possono essere effettuate in conformità
agli artt. 3 e 4 del predetto d. lg. n. 135/1999, operazioni di
raccolta, registrazione, organizzazione, conservazione,
modificazione, estrazione, utilizzo, blocco, cancellazione e
distruzione dei dati. Oltre a quanto previsto dal medesimo art. 4,
eventuali operazioni di selezione, elaborazione e comunicazione dei
dati sono consentite solo con l'indicazione scritta dei motivi. I
predetti uffici ed organismi sono tenuti a rendere previamente
pubblica con proprio atto la lista dei soggetti ai quali i dati
sensibili possono essere comunicati in base alle leggi e ai
regolamenti".
Si ritiene necessario, inoltre, adeguare lo schema di regolamento
alle disposizioni contenute nella legge 5 giugno 1990, n. 135, in
materia di AIDS (v. in particolare le problematiche affrontate dal
Garante con i provvedimenti del 31 luglio 1998, in allegato, e del
31 dicembre 1998, citato nella Relazione annuale 1999, pag. 53).
Quando il giudizio diagnostico riguardi casi di infezione da HIV o
di AIDS, è necessario, pertanto, che il verbale recante tale
diagnosi sia consegnato dapprima al solo interessato, per le sue
valutazioni. Ove questi ritenga di chiedere o di non opporsi
all'ulteriore prosecuzione del procedimento, gli uffici devono
adottare specifiche cautele, in aggiunta a quanto previsto dal
citato art. 3, per l'ulteriore utilizzazione e conservazione dei
dati ivi contenuti, in modo da limitarne rigorosamente la
conoscibilità.
Per qualunque diagnosi, poi, in caso di trasmissione del verbale in
forma cartacea, l'atto deve essere inserito in un plico chiuso
allegato alla missiva che l'accompagna.
È necessario, infine, che l'articolo 11 dello schema sia
riformulato:
- a) limitando l'accessibilità ai dati oggetto di comunicazione fra
gli uffici ed organismi ivi indicati ad un numero limitato di
persone incaricate dello specifico trattamento dei dati ai sensi
degli articoli 8 e 19 della legge n. 675/1996;
- b) chiarendo l'ambito applicativo del comma 3, in particolare
precisando che la disposizione si riferisce solo alla comunicazione
di dati all'interessato da parte degli uffici competenti.
Tutto ciò premesso il
garante:
esprime il parere richiesto nei
termini di cui in motivazione.
Istituti di
credito - Segreto bancario e comunicazione di dati ad un legale -
23 maggio 2001.
Il garante per la protezione dei
dati personali:
nella riunione odierna, in presenza del prof. Stefano Rodotà,
presidente, del prof. Giuseppe Santaniello, vice presidente, del
prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del
dott. Giovanni Buttarelli, segretario generale;
Esaminata la segnalazione presentata
dalla sig.a XY nei confronti della Banca Nazionale del Lavoro
S.p.A.;
Vista la documentazione in atti;
Viste le osservazioni dell'Ufficio formulate dal segretario
generale ai sensi dell'art. 15 del regolamento del Garante n.
1/2000;
Relatore il prof. Stefano Rodotà;
PREMESSO
1. L'interessata ha segnalato che la
Banca Nazionale del Lavoro S.p.A. ha comunicato illecitamente ad un
legale alcune informazioni concernenti i propri rapporti di conto
corrente e di deposito titoli, in violazione delle disposizioni
della legge n. 675/1996 e degli obblighi nella materia del c.d.
segreto bancario.
L'8 giugno 1999, per resistere ad
una azione civile proposta dall'interessata dinanzi al Tribunale di
Roma ai fini di un aumento dell'assegno mensile di divorzio, il
legale ha presentato nell'interesse del coniuge divorziato
dell'interessata una memoria di costituzione che indicava alcuni
dati relativi ai rapporti intrattenuti dall'interessata presso le
agenzie di Roma della Banca nn. 18 e 226 (dati concernenti il saldo
e l'ammontare di alcuni titoli).
L'interessata ha precisato che tali
dati sono stati comunicati illecitamente al legale prima ancora che
la banca le avesse inviato i periodici estratti conto ed ha
evidenziato che tali informazioni non potevano che essere state
fornite da addetti della banca, presso la quale aveva presentato un
reclamo.
A seguito della prima richiesta di
informazioni di questa Autorità l'istituto di credito ha precisato
con nota del 31 marzo 2000 di aver appurato, a seguito di
un'indagine interna, che "un dipendente, che per motivi d'ufficio
ha contatti di lavoro con legali esterni alla banca, ha dichiarato
di aver confermato ad uno di questi legali dati relativi ai
rapporti intrattenuti dalla sig.ra XY, dati che, peraltro, secondo
le dichiarazioni del legale predetto, sarebbero già stati in
possesso del medesimo".
La banca ha quindi allegato copia
della nota inviata all'interessata il 12 ottobre 1999, in risposta
al predetto reclamo, nella quale aveva comunicato: a) che il 28
maggio 1999 un legale esterno alla banca -e che ha con questa
contatti periodici per motivi professionali- ha ottenuto la
comunicazione dei dati in questione a seguito di una interrogazione
del sistema informatico effettuata da un dipendente; b) di aver
adottato in relazione a tale episodio "le conseguenti iniziative
affinché la circostanza non abbia a ripetersi in futuro".
Nell'audizione svoltasi il 29 maggio
2000 presso l'Ufficio del Garante, nonché nei documenti
successivamente inviati, la segnalante ha ribadito che il
dipendente della banca avrebbe rivelato i dati in modo illecito e
in violazione degli obblighi contrattuali relativi ai rapporti
bancari, e che il legale non aveva avuto in precedenza conoscenza
dei dati medesimi.
L'istituto di credito ha invece
argomentato che "una "normativa" sul segreto bancario non esiste,
esistendo, invece, un obbligo della banca, ai sensi dell'art. 1375
c.c., di non ledere legittimi interessi della propria clientela", e
che nel caso di specie non si sarebbe verificata alcuna violazione
della legge n. 675/1996, poiché la comunicazione dei dati in esame
poteva essere effettuata dalla banca anche senza il consenso
dell'interessata (ai sensi dell'art. 20, comma 1, lett. g), della
medesima legge), essendo necessaria per l'esercizio in sede
giudiziaria di un diritto del coniuge dell'interessata.
L'interessata ha nuovamente
contestato tali deduzioni, affermando che:
- il rispetto dell'obbligo del c.d.
segreto bancario rappresenterebbe una manifestazione del dovere di
buona fede nell'esecuzione del contratto (art. 1375 cod. civ.), per
cui il cliente vanterebbe un diritto, anziché un mero interesse a
che la banca non comunichi a terzi dati relativi ai propri
rapporti;
- la richiamata fattispecie
dell'esercizio di un diritto in sede giudiziaria, che permette di
prescindere dal consenso per la comunicazione dei dati, non sarebbe
applicabile da parte della banca quando l'esigenza di difesa in
sede giudiziaria riguarda diritti di un soggetto estraneo al
rapporto bancario, per cui i dipendenti della banca non potrebbero
fornire informazioni ad un terzo che intenda tutelare le ragioni
processuali di un proprio cliente, in assenza di un provvedimento
dell'autorità giudiziaria.
Ulteriori elementi sono stati infine
acquisiti dall'Ufficio con richiesta del 20 aprile 2001.
Ciò premesso, il garante
osserva:
2. La comunicazione dei dati al
legale è da ritenersi pacifica essendo ammessa dalla banca e dal
dipendente che l'ha effettuata ed avendo formato oggetto anche di
un provvedimento con il quale la banca ha applicato a quest'ultimo
una sanzione disciplinare.
Nelle giustificazioni scritte
fornite dal dipendente il 5 ottobre 1999 si sostiene che la
verifica sulle condizioni economiche dell'interessata è stata
effettuata in favore del legale "in buona fede e nel presupposto
che tali elementi erano già a conoscenza del professionista".
Quest'ultima circostanza -che è però contestata dall'interessata- è
tuttavia priva di rilievo ai fini dell'accertamento dell'illiceità
della comunicazione, in quanto il dipendente, quand'anche si
raggiungesse la prova che si è trattato di una semplice verifica e
conferma dell'esattezza di dati già conosciuti dal legale, ha
comunque posto in essere una "comunicazione" divulgando notizie od
elementi che hanno fornito un contributo aggiuntivo di conoscenza
al terzo richiedente (v., in proposito, le definizioni di "dato
personale" e di "comunicazione" di cui all'art. 1, comma 2, lettere
c) e g), della legge n. 675/1996).
3. La predetta comunicazione deve
ritenersi contraria al principio di liceità e correttezza del
trattamento (art. 9 legge n. 675/1996).
L'art. 20, comma 1, lett. g), di
tale legge permette al titolare del trattamento di comunicare dati
personali senza il consenso dell'interessato, qualora la loro
comunicazione sia necessaria per far valere o difendere un diritto
in sede giudiziaria anche da parte di un terzo.
Tale fattispecie prevede però per il
titolare del trattamento una mera facoltà di fornire dati e non
determina a suo carico l'obbligo giuridico di comunicarli.
Simmetricamente, la norma non riconosce al terzo che richiede i
dati il diritto di ottenerli.
Nell'esercitare o meno tale facoltà,
il titolare del trattamento, oltre a valutare l'effettiva necessità
della comunicazione ai fini dell'esercizio del diritto di difesa,
deve verificare che la natura dei dati, il contesto in cui essi
sono trattati e, in particolare, il rapporto giuridico che lega il
titolare medesimo all'interessato permetta di esercitare tale
facoltà senza violare obblighi nascenti dalla legge o da un
rapporto contrattuale.
Nel caso di specie, il rapporto di
conto corrente e quello legato alla gestione dei titoli precludeva
la comunicazione dei dati in assenza del consenso dell'interessata
o di un obbligo normativo.
Nei rapporti delle banche con la
clientela viene infatti in considerazione il c.d. segreto bancario,
inteso come obbligo di mantenere il riserbo sulle operazioni, sui
conti e sulle posizioni concernenti gli utenti dei servizi bancari
(v., in particolare, Corte Cost. 3-18 febbraio 1992, n. 51).
Tale obbligo, comunemente
configurato come connaturato al rapporto banca-cliente in
applicazione dei principi di correttezza e buona fede
nell'esecuzione del contratto (artt. 1175, 1375 e 1337 del codice
civile), è anche espressamente richiamato o presupposto da diverse
disposizioni normative in materia fiscale e tributaria o in materia
di riciclaggio, in relazione ai poteri di accertamento che
permettono a determinati soggetti pubblici di acquisire notizie ed
informazioni presso istituti di credito (v., ad es., l'art. 10,
comma 2, n. 12) della l. 9 ottobre 1971, n. 825; l'art. 4 l. 9
agosto 1993, n. 328 di ratifica della convenzione di Strasburgo sul
riciclaggio dell'8 novembre 1990; le norme sull'anagrafe dei
rapporti di conto e di deposito, di cui all'art. 20, comma 4, l. n.
413/1991 e al d.m. 4 agosto 2000, n. 269 del Ministro del tesoro,
del bilancio e della programmazione economica; Corte cost. 3-6
luglio 2000, n. 260 e Cass. Civ. Sez. I, 7 agosto 1990, n. 7953, in
materia di ordine di esibizione rivolto dal giudice civile ad un
istituto di credito; v. anche la deliberaz. Consob n. 11522/1998 di
attuazione del d.lg. n. 58/1998, che impone al personale delle
banche e degli altri intermediari precisi obblighi di riservatezza
sulle informazioni di carattere confidenziale acquisite dagli
investitori o di cui si disponga in ragione della propria
funzione).
I doveri di confidenzialità connessi
al c.d. segreto bancario trovano anche riscontro negli usi e nelle
consuetudini bancarie, nonché negli impegni che gli istituti di
credito assumono nei confronti della clientela allorché dichiarano
di rispettare le regole di comportamento indicate dalla relativa
associazione di categoria, anche per ciò che attiene alla
riservatezza nella raccolta e nel trattamento delle informazioni
sui clienti (v. il Codice di comportamento del settore bancario e
finanziario predisposto dall'Associazione bancaria italiana, parte
I e parte IV, punto 2, cui la B.N.L. ha aderito nel giugno del
1996, nonché il codice di autodisciplina deliberato dall'A.B.I. in
tema di intermediazione finanziaria, punto 1, cui la B.N.L. ha
aderito nel dicembre del 1998; v. inoltre l'art. 11 del c.c.n.l.
del 22 giugno 1995, relativo al personale direttivo delle banche
che stabilisce il divieto per il funzionario di comunicare notizie
riservate di ufficio).
4. Da quanto sopra esposto, emerge
che, fuori dei casi di operazioni di comunicazione di dati connesse
alle prestazioni richieste o ai servizi erogati (e dei casi di
adempimento di obblighi normativi in base ai quali gli istituti di
credito devono fornire determinate informazioni a soggetti
pubblici), gli istituti stessi ed il relativo personale devono
mantenere il riserbo sulle informazioni relative ai propri clienti
e non divulgarle a terzi.
Il dipendente della B.N.L. che ha
fornito i dati al legale li ha quindi comunicati in violazione del
principio secondo cui i dati devono essere trattati lecitamente e
secondo correttezza (art. 9, comma 1, lett. a), legge n. 675/1996)
e degli impegni assunti dalla banca (che assume la responsabilità
giuridica della violazione quale titolare del trattamento) nei
confronti della clientela in relazione ai servizi prestati, senza
che l'interessata ne venisse peraltro informata.
La segnalazione dell'interessata è
pertanto fondata. Deve quindi ritenersi che la comunicazione non
sia avvenuta nel rispetto del predetto principio.
La banca ha comunicato
all'interessata di aver introdotto accorgimenti per evitare il
ripetersi di analoghi comportamenti da parte dei propri dipendenti.
Ha poi trasmesso all'Ufficio del Garante copia degli atti relativi
al procedimento interno conclusosi con l'applicazione di una
sanzione disciplinare. Si è potuto inoltre appurare che la banca
aveva conferito al dipendente un incarico scritto per trattare i
dati della clientela per le finalità proprie delle mansioni e delle
attività affidate, e lo aveva invitato ad attenersi alle "normative
interne aziendali" (in particolare, ad alcune circolari in materia
di sicurezza dei dati), provvedendo anche alla diffusione interna
dei richiamati codici di comportamento e di autodisciplina.
Pur in presenza di questi
adempimenti, va comunque segnalata alla banca la necessità di
impartire ulteriori istruzioni al personale affinché i princìpi
richiamati nel presente provvedimento siano oggetto di un più
diffuso e rigoroso rispetto.
Copia del presente provvedimento è
altresì trasmessa per ogni opportuna conoscenza alle associazioni
di categoria e di consumatori, nonché a soggetti e ad organismi
pubblici e privati interessati.
Per questi motivi, il
garante:
a) dichiara fondata la segnalazione
nei termini di cui in motivazione;
b) segnala alla Banca Nazionale del
Lavoro S.p.A., ai sensi dell'art. 31, comma 1, lett. c), della
legge n. 675/1996, la necessità di impartire ulteriori istruzioni
al personale per conformare il trattamento dei dati ai principi
richiamati nel presente provvedimento, e di fornire all'Ufficio del
Garante, entro il 30 giugno 2001, copia delle determinazioni
adottate;
c) dispone la trasmissione di copia
del presente provvedimento alle associazioni di categoria e di
consumatori e a soggetti e ad organismi pubblici e privati
interessati.
Documento
informatico - Aggiornamento delle regole tecniche sui documenti
informatici - 14 giugno 2001.
Il garante per la protezione dei
dati personali: nella riunione odierna, in presenza del prof.
Stefano Rodotà, presidente, del prof. Giuseppe Santaniello,
vice-presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan,
componenti e del dott. Giovanni Buttarelli, segretario
generale;
Vista la nota della Presidenza del
Consiglio dei ministri-Dipartimento della funzione pubblica del 24
maggio 2001 con la quale è stato chiesto il parere del Garante in
ordine ad uno schema di d.P.C.M. di aggiornamento delle regole
tecniche concernenti i documenti informatici;
Viste le osservazioni formulate dal segretario generale ai sensi
dell'art. 15 del regolamento del Garante n. 1/2000 adottato con
deliberazione n. 15 del 28 giugno 2000 e pubblicato sulla Gazzetta
Ufficiale della Repubblica italiana n. 162 del 13 luglio
2000;
Relatore il dott. Mauro Paissan;
OSSERVA
La Presidenza del Consiglio dei
ministri - Dipartimento della funzione pubblica ha chiesto il
parere del Garante in ordine ad uno schema di d.P.C.M. di
aggiornamento delle regole tecniche concernenti la formazione ed
altre operazioni relative ai documenti informatici, già contenute
nel d.P.C.M. 8 febbraio 1999.
Il Garante valuta positivamente la
circostanza che le disposizioni in materia di documenti informatici
siano aggiornate in relazione all'evoluzione delle conoscenze
scientifiche e tecnologiche, come del resto previsto dall'articolo
8, comma 2, del testo unico delle disposizioni legislative e
regolamentari in materia di documentazione amministrativa (d.P.R.
28 dicembre 2000, n. 445).
Questa Autorità osserva, però, che
varie disposizioni dello schema trasmesso, in parte già contenute
nel sostituendo decreto, recano norme di natura sostanziale o che
assumono un valore sostanzialmente precettivo per effetto della
loro formulazione, che non dovrebbero essere ricomprese fra le mere
"regole tecniche" oggetto del presente schema (si vedano, fra le
altre, la disposizione che stabilisce requisiti di onorabilità dei
certificatori - art. 45 - o che riguarda la validità del documento
informatico - art. 53 - come pure la previsione di "modalità di
esecuzione" di una disposizione sui requisiti dei certificatori
mediante circolare - art. 14, comma 3).
Non si vuole disconoscere l'utilità
di un sistema di regole tecniche, omogenee e flessibili. Occorre
tuttavia sottolineare l'esigenza che tale disciplina di carattere
meramente tecnico sia tenuta distinta dalle disposizioni a
carattere normativo, primario o regolamentare, la cui sede naturale
è, semmai, il noto testo unico in materia di documentazione
amministrativa.
Si invita, pertanto, a tener conto
di questa osservazione in riferimento al complessivo tenore del
provvedimento.
Quanto alle singole disposizioni
dello schema il Garante osserva:
- art. 14, comma 4: per quanto sopra
detto, non appare conforme alla natura tecnica delle disposizioni
dello schema la previsione, in questa sede, di un potere di
acquisizione di informazioni finalizzato all'esercizio di poteri di
verifica e di controllo, fermo restando che l'AIPA potrà, comunque,
esercitare tale potere ai sensi della normativa richiamata
nell'art. 14, comma 4;
- art. 18, comma 2: sebbene il
d.P.C.M. 9 febbraio 1999 contenga già una norma analoga, devono
essere individuati criteri per una identificazione il più possibile
uniforme degli utenti da parte dei certificatori, al fine di
scongiurare il rischio di una eccessiva e disomogenea
parcellizzazione delle modalità contenute negli appositi
manuali;
- artt. 19 e 23: la previsione
contenuta nell'art. 19 in ordine alla possibilità di uso di uno
pseudonimo appare corretta e conforme all'art. 8, par. 3, della
direttiva 1999/93/CE relativa al quadro comunitario sulle firme
elettroniche. Si coglie però l'occasione per sottolineare (tenendo
conto di quanto sopra osservato a proposito del ruolo riconosciuto
alle regole tecniche in esame), che in relazione alle disposizioni
contenute nell'art. 19 e nel successivo art. 23, permane l'esigenza
di dare rapida attuazione alle restanti parti dell'articolo 8 della
citata direttiva, per gli aspetti concernenti la raccolta di dati
personali, la manifestazione del consenso e l'uso dei dati medesimi
per fini diversi;
- art. 20: è necessario che la
disposizione contenga un esplicito richiamo all'obbligo di
informativa previsto dall'articolo 10 della legge n. 675/1996 in
materia di protezione di dati personali;
- art. 40, comma 3, lett. p): appare
necessario fissare criteri di omogeneità in ordine alle modalità di
protezione della riservatezza da inserire nei manuali operativi,
anche in considerazione del fatto che tali manuali sembrano
adottabili senza il previo esame da parte dell'AIPA o di questa
Autorità
- art. 55-bis, comma 2: anche in
riferimento a tale disposizione, devono essere indicati i criteri
cui le pubbliche amministrazioni devono attenersi per definire ed
applicare regole tecniche diverse da quelle contenute nello schema
in esame.
Si prega, infine, di menzionare nel
preambolo l'avvenuta consultazione del Garante.
Tutto ciò premesso il
garante:
esprime il parere richiesto nei
termini di cui in motivazione.
Dati relativi
allo svolgimento di attivita' economiche - Appalti pubblici e
documentazione delle forniture effettuate - 27 giugno 2001.
Il garante per la protezione dei
dati personali:
in data odierna, con la partecipazione del prof. Stefano Rodotà,
del prof. Giuseppe Santaniello, vice-presidente, del prof. Gaetano
Rasi e del dottor Mauro Paissan, componenti e del dottor Giovanni
Buttarelli, segretario generale;
esaminato il reclamo presentato da Eurocolumbus s.r.l.;
nei confronti di C.A.T. di Corsini G. & C. S.p.A.;
Viste le osservazioni formulate dal
segretario generale ai sensi dell'art. 15 del regolamento del
Garante n. 1/2000 adottato con deliberazione n. 15 del 28 giugno
2000 e pubblicato sulla Gazzetta Ufficiale della Repubblica
italiana n. 162 del 13 luglio 2000;
Relatore il prof. Stefano Rodotà;
Vista la documentazione in atti;
PREMESSO
Eurocolumbus s.r.l. lamenta che
C.A.T. di Corsini G. & C. S.p.A. avrebbe illegittimamente
comunicato a terzi alcuni dati personali che la riguardano raccolti
nel corso di rapporti contrattuali intercorsi in passato fra le due
società. In particolare la società C.A.T., in occasione dello
svolgimento di gare per la fornitura di materiale sanitario,
avrebbe incluso informazioni relative a Eurocolumbus s.r.l. "nelle
referenze e nella documentazione di gara, creando turbativa". La
reclamante ha segnalato di essersi formalmente opposta al
trattamento dei propri dati personali da parte della società
C.A.T., tranne che per le "normali attività commerciali",
affermando di considerare ogni comunicazione dei dati stessi alla
stregua di una violazione della legge n. 675/1996.
A tale istanza, ed al successivo
invito a fornire un riscontro formulato da questa Autorità, il
titolare del trattamento ha risposto sostenendo che:
- l'interessato non avrebbe a suo
tempo esercitato alcuno dei diritti riconosciuti dall'art. 13 della
legge n. 675, limitandosi a manifestare una generica opposizione al
trattamento dei propri dati;
- la comunicazione delle
informazioni relative a Eurocolumbus s.r.l. sarebbe avvenuta verso
soggetti pubblici ai fini della partecipazione a gare d'appalto e
secondo le prescrizioni del decreto legislativo 24 luglio 1992, n.
358;
- la preventiva informativa
all'interessato sarebbe stata fornita per iscritto;
- sarebbero stati comunicati ad
alcuni enti pubblici, a fini di partecipazione a gare d'appalto,
solo gli estremi di talune forniture effettuate a favore di
Eurocolumbus s.r.l., senza chiedere a tal fine il consenso di tale
società poiché la legge n. 675 ne escluderebbe la necessità,
trattandosi di dati personali relativi allo svolgimento di attività
economiche.
Ciò premesso, il garante
osserva:
Il reclamo presentato da
Eurocolumbus s.r.l., che va qualificato come tale in conformità ai
principi affermati nel provvedimento del Garante del 16 ottobre
1997 (pubblicato nel Bollettino Ufficiale del Garante "Cittadini e
Società dell'Informazione", n. 2, pag. 71 ss.), non è fondato.
Dalla documentazione acquisita nel
corso del procedimento non risultano infatti profili di illiceità,
ai sensi dell'art. 20, comma 1, della legge n. 675, della
contestata comunicazione di dati personali del ricorrente,
effettuata dalla C.A.T. di Corsini G. & C. S.p.a.
La società C.A.T. ha anzitutto
prodotto per la partecipazione alle gare in questione propria
documentazione contabile contenente dati personali di natura
economica riferiti alla stessa. Inoltre, i dati più specificamente
oggetto di contestazione e riferiti alla società reclamante, sono
dati relativi allo svolgimento di attività economiche della stessa,
per i quali, ai sensi del citato art. 20 comma 1, lettera e), della
legge n. 675, non occorre la previa acquisizione del consenso.
Va altresì rilevato che il d. lg. 24
luglio 1992 n. 358, recante il "Testo unico delle disposizioni in
materia di appalti pubblici di forniture", prevede che le imprese
concorrenti alle gare possano dimostrare le proprie capacità
tecniche attraverso l'allegazione di diversi documenti, tra i quali
compare anche l'elenco delle principali forniture effettuate
durante gli ultimi tre anni, con il corrispettivo importo, data e
destinatario (art. 14, comma 1, lett. a)).
Nel bando di gara indetta dal
Reparto autonomo centrale della Guardia di Finanza, oggetto di
particolare attenzione nel reclamo, era appunto previsto che le
ditte interessate, per essere invitate, dovessero far pervenire la
documentazione di cui alla predetta norma.
In relazione a quanto osservato, non
risultano "motivi legittimi" che giustifichino l'opposizione al
trattamento dei dati personali dell'interessato, ai sensi dell'art.
13, comma 1, lett. d), della legge n. 675/1996, restando comunque
impregiudicato - malgrado l'esclusione del consenso - l'obbligo per
la società C.A.T. di utilizzare in futuro i dati personali di
Eurocolumbus s.r.l., sempre in modo lecito e corretto e sulla base
di un'idonea informativa redatta nel rispetto dell'art. 10 della
legge n. 675.
Per questi motivi, il
garante:
dichiara infondato il
reclamo. | 
