• >
  • Media & Comunicazione
    >
  • Rassegna dell'Arma
    >
  • La Rassegna
    >
  • Anno 2002
    >
  • N.1 - Gennaio-Marzo
    >
  • Legislazione e Giurisprudenza
    >

Garante della Privacy

Pubblica amministrazione - Infermità da causa di servizio, pensioni privilegiate ed equo indennizzo - 3 maggio 2001.

Il garante per la protezione dei dati personali: nella riunione odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice-presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

Vista la nota della Presidenza del Consiglio dei ministri dell’8 marzo 2001 con la quale è stato chiesto il parere del Garante in ordine ad uno schema di regolamento di semplificazione di alcuni procedimenti in materia previdenziale;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000 adottato con deliberazione n. 15 del 28 giugno 2000 e pubblicato sulla Gazzetta Ufficiale della Repubblica italiana n. 162 del 13 luglio 2000;
Relatore il prof. Stefano Rodotà;

OSSERVA

La Presidenza del Consiglio dei ministri ha richiesto il parere del Garante in ordine ad uno schema di regolamento di semplificazione dei procedimenti per il riconoscimento della dipendenza delle infermità da causa di servizio, per la concessione della pensione privilegiata ordinaria e dell’equo indennizzo a militari e a dipendenti delle pubbliche amministrazioni.
Il procedimento amministrativo previsto può richiedere il trattamento di dati “sensibili”, attinenti in particolare allo stato di salute, e persegue finalità considerate dalla legge di rilevante interesse pubblico (art. 9 d.lg. 11 maggio 1999, n. 135). Di conseguenza tali dati possono essere trattati solo in presenza di un atto normativo di rango almeno regolamentare che individui e renda pubblici i tipi di dati e le operazioni di trattamento (art. 22, comma 3-bis, legge n. 675/1996; art. 5 d.lg. n. 135/1999).
Devono essere quindi soppressi i commi 5 e 6, secondo periodo, ultima parte, dell’art. 4 dello schema in esame, i quali prevedono erroneamente la prestazione del consenso dell’interessato che non deve essere invece richiesto dalle pubbliche amministrazioni (mentre l’eventuale opposizione al trattamento resta disciplinata dall’art. 13 della legge n. 675/1996).
Deve essere invece introdotta nello schema una disposizione applicabile a tutti gli uffici ed amministrazioni interessati al provvedimento, che individui quantomeno le tipologie di dati e le operazioni effettuabili. Analogamente a quanto di recente previsto dall’art. 8 del d.P.C.M. 21 dicembre 2000, n. 452, in tema di assegni di maternità e per il nucleo familiare, tale disposizione potrebbe essere introdotta con una formula di tenore analogo al seguente:
- “In applicazione dell’art. 22, comma 3-bis, della legge n. 675/1996, il presente articolo identifica i tipi di dati sensibili e di operazioni strettamente pertinenti e necessari in relazione alle finalità perseguite. Gli uffici e gli organismi interessati all’applicazione del presente regolamento possono trattare, nei casi ivi previsti, i dati personali idonei a rivelare lo stato di salute dei richiedenti. Possono essere effettuate in conformità agli artt. 3 e 4 del predetto d. lg. n. 135/1999, operazioni di raccolta, registrazione, organizzazione, conservazione, modificazione, estrazione, utilizzo, blocco, cancellazione e distruzione dei dati. Oltre a quanto previsto dal medesimo art. 4, eventuali operazioni di selezione, elaborazione e comunicazione dei dati sono consentite solo con l’indicazione scritta dei motivi. I predetti uffici ed organismi sono tenuti a rendere previamente pubblica con proprio atto la lista dei soggetti ai quali i dati sensibili possono essere comunicati in base alle leggi e ai regolamenti”.
Si ritiene necessario, inoltre, adeguare lo schema di regolamento alle disposizioni contenute nella legge 5 giugno 1990, n. 135, in materia di AIDS (v. in particolare le problematiche affrontate dal Garante con i provvedimenti del 31 luglio 1998, in allegato, e del 31 dicembre 1998, citato nella Relazione annuale 1999, pag. 53). Quando il giudizio diagnostico riguardi casi di infezione da HIV o di AIDS, è necessario, pertanto, che il verbale recante tale diagnosi sia consegnato dapprima al solo interessato, per le sue valutazioni. Ove questi ritenga di chiedere o di non opporsi all’ulteriore prosecuzione del procedimento, gli uffici devono adottare specifiche cautele, in aggiunta a quanto previsto dal citato art. 3, per l’ulteriore utilizzazione e conservazione dei dati ivi contenuti, in modo da limitarne rigorosamente la conoscibilità.
Per qualunque diagnosi, poi, in caso di trasmissione del verbale in forma cartacea, l’atto deve essere inserito in un plico chiuso allegato alla missiva che l’accompagna.
È necessario, infine, che l’articolo 11 dello schema sia riformulato:
- a) limitando l’accessibilità ai dati oggetto di comunicazione fra gli uffici ed organismi ivi indicati ad un numero limitato di persone incaricate dello specifico trattamento dei dati ai sensi degli articoli 8 e 19 della legge n. 675/1996;
- b) chiarendo l’ambito applicativo del comma 3, in particolare precisando che la disposizione si riferisce solo alla comunicazione di dati all’interessato da parte degli uffici competenti.

Tutto ciò premesso il garante:

esprime il parere richiesto nei termini di cui in motivazione.


Istituti di credito - Segreto bancario e comunicazione di dati ad un legale - 23 maggio 2001.

Il garante per la protezione dei dati personali:
nella riunione odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

Esaminata la segnalazione presentata dalla sig.a XY nei confronti della Banca Nazionale del Lavoro S.p.A.;
Vista la documentazione in atti;
Viste le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
Relatore il prof. Stefano Rodotà;

PREMESSO

1. L’interessata ha segnalato che la Banca Nazionale del Lavoro S.p.A. ha comunicato illecitamente ad un legale alcune informazioni concernenti i propri rapporti di conto corrente e di deposito titoli, in violazione delle disposizioni della legge n. 675/1996 e degli obblighi nella materia del c.d. segreto bancario.

L’8 giugno 1999, per resistere ad una azione civile proposta dall’interessata dinanzi al Tribunale di Roma ai fini di un aumento dell’assegno mensile di divorzio, il legale ha presentato nell’interesse del coniuge divorziato dell’interessata una memoria di costituzione che indicava alcuni dati relativi ai rapporti intrattenuti dall’interessata presso le agenzie di Roma della Banca nn. 18 e 226 (dati concernenti il saldo e l’ammontare di alcuni titoli).

L’interessata ha precisato che tali dati sono stati comunicati illecitamente al legale prima ancora che la banca le avesse inviato i periodici estratti conto ed ha evidenziato che tali informazioni non potevano che essere state fornite da addetti della banca, presso la quale aveva presentato un reclamo.

A seguito della prima richiesta di informazioni di questa Autorità l’istituto di credito ha precisato con nota del 31 marzo 2000 di aver appurato, a seguito di un’indagine interna, che “un dipendente, che per motivi d’ufficio ha contatti di lavoro con legali esterni alla banca, ha dichiarato di aver confermato ad uno di questi legali dati relativi ai rapporti intrattenuti dalla sig.ra XY, dati che, peraltro, secondo le dichiarazioni del legale predetto, sarebbero già stati in possesso del medesimo”.

La banca ha quindi allegato copia della nota inviata all’interessata il 12 ottobre 1999, in risposta al predetto reclamo, nella quale aveva comunicato: a) che il 28 maggio 1999 un legale esterno alla banca -e che ha con questa contatti periodici per motivi professionali- ha ottenuto la comunicazione dei dati in questione a seguito di una interrogazione del sistema informatico effettuata da un dipendente; b) di aver adottato in relazione a tale episodio “le conseguenti iniziative affinché la circostanza non abbia a ripetersi in futuro”.

Nell’audizione svoltasi il 29 maggio 2000 presso l’Ufficio del Garante, nonché nei documenti successivamente inviati, la segnalante ha ribadito che il dipendente della banca avrebbe rivelato i dati in modo illecito e in violazione degli obblighi contrattuali relativi ai rapporti bancari, e che il legale non aveva avuto in precedenza conoscenza dei dati medesimi.

L’istituto di credito ha invece argomentato che “una “normativa” sul segreto bancario non esiste, esistendo, invece, un obbligo della banca, ai sensi dell’art. 1375 c.c., di non ledere legittimi interessi della propria clientela”, e che nel caso di specie non si sarebbe verificata alcuna violazione della legge n. 675/1996, poiché la comunicazione dei dati in esame poteva essere effettuata dalla banca anche senza il consenso dell’interessata (ai sensi dell’art. 20, comma 1, lett. g), della medesima legge), essendo necessaria per l’esercizio in sede giudiziaria di un diritto del coniuge dell’interessata.

L’interessata ha nuovamente contestato tali deduzioni, affermando che:

- il rispetto dell’obbligo del c.d. segreto bancario rappresenterebbe una manifestazione del dovere di buona fede nell’esecuzione del contratto (art. 1375 cod. civ.), per cui il cliente vanterebbe un diritto, anziché un mero interesse a che la banca non comunichi a terzi dati relativi ai propri rapporti;

- la richiamata fattispecie dell’esercizio di un diritto in sede giudiziaria, che permette di prescindere dal consenso per la comunicazione dei dati, non sarebbe applicabile da parte della banca quando l’esigenza di difesa in sede giudiziaria riguarda diritti di un soggetto estraneo al rapporto bancario, per cui i dipendenti della banca non potrebbero fornire informazioni ad un terzo che intenda tutelare le ragioni processuali di un proprio cliente, in assenza di un provvedimento dell’autorità giudiziaria.

Ulteriori elementi sono stati infine acquisiti dall’Ufficio con richiesta del 20 aprile 2001.

Ciò premesso, il garante osserva:

2. La comunicazione dei dati al legale è da ritenersi pacifica essendo ammessa dalla banca e dal dipendente che l’ha effettuata ed avendo formato oggetto anche di un provvedimento con il quale la banca ha applicato a quest’ultimo una sanzione disciplinare.

Nelle giustificazioni scritte fornite dal dipendente il 5 ottobre 1999 si sostiene che la verifica sulle condizioni economiche dell’interessata è stata effettuata in favore del legale “in buona fede e nel presupposto che tali elementi erano già a conoscenza del professionista”. Quest’ultima circostanza -che è però contestata dall’interessata- è tuttavia priva di rilievo ai fini dell’accertamento dell’illiceità della comunicazione, in quanto il dipendente, quand’anche si raggiungesse la prova che si è trattato di una semplice verifica e conferma dell’esattezza di dati già conosciuti dal legale, ha comunque posto in essere una “comunicazione” divulgando notizie od elementi che hanno fornito un contributo aggiuntivo di conoscenza al terzo richiedente (v., in proposito, le definizioni di “dato personale” e di “comunicazione” di cui all’art. 1, comma 2, lettere c) e g), della legge n. 675/1996).

3. La predetta comunicazione deve ritenersi contraria al principio di liceità e correttezza del trattamento (art. 9 legge n. 675/1996).

L’art. 20, comma 1, lett. g), di tale legge permette al titolare del trattamento di comunicare dati personali senza il consenso dell’interessato, qualora la loro comunicazione sia necessaria per far valere o difendere un diritto in sede giudiziaria anche da parte di un terzo.

Tale fattispecie prevede però per il titolare del trattamento una mera facoltà di fornire dati e non determina a suo carico l’obbligo giuridico di comunicarli. Simmetricamente, la norma non riconosce al terzo che richiede i dati il diritto di ottenerli.

Nell’esercitare o meno tale facoltà, il titolare del trattamento, oltre a valutare l’effettiva necessità della comunicazione ai fini dell’esercizio del diritto di difesa, deve verificare che la natura dei dati, il contesto in cui essi sono trattati e, in particolare, il rapporto giuridico che lega il titolare medesimo all’interessato permetta di esercitare tale facoltà senza violare obblighi nascenti dalla legge o da un rapporto contrattuale.

Nel caso di specie, il rapporto di conto corrente e quello legato alla gestione dei titoli precludeva la comunicazione dei dati in assenza del consenso dell’interessata o di un obbligo normativo.

Nei rapporti delle banche con la clientela viene infatti in considerazione il c.d. segreto bancario, inteso come obbligo di mantenere il riserbo sulle operazioni, sui conti e sulle posizioni concernenti gli utenti dei servizi bancari (v., in particolare, Corte Cost. 3-18 febbraio 1992, n. 51).

Tale obbligo, comunemente configurato come connaturato al rapporto banca-cliente in applicazione dei principi di correttezza e buona fede nell’esecuzione del contratto (artt. 1175, 1375 e 1337 del codice civile), è anche espressamente richiamato o presupposto da diverse disposizioni normative in materia fiscale e tributaria o in materia di riciclaggio, in relazione ai poteri di accertamento che permettono a determinati soggetti pubblici di acquisire notizie ed informazioni presso istituti di credito (v., ad es., l’art. 10, comma 2, n. 12) della l. 9 ottobre 1971, n. 825; l’art. 4 l. 9 agosto 1993, n. 328 di ratifica della convenzione di Strasburgo sul riciclaggio dell’8 novembre 1990; le norme sull’anagrafe dei rapporti di conto e di deposito, di cui all’art. 20, comma 4, l. n. 413/1991 e al d.m. 4 agosto 2000, n. 269 del Ministro del tesoro, del bilancio e della programmazione economica; Corte cost. 3-6 luglio 2000, n. 260 e Cass. Civ. Sez. I, 7 agosto 1990, n. 7953, in materia di ordine di esibizione rivolto dal giudice civile ad un istituto di credito; v. anche la deliberaz. Consob n. 11522/1998 di attuazione del d.lg. n. 58/1998, che impone al personale delle banche e degli altri intermediari precisi obblighi di riservatezza sulle informazioni di carattere confidenziale acquisite dagli investitori o di cui si disponga in ragione della propria funzione).

I doveri di confidenzialità connessi al c.d. segreto bancario trovano anche riscontro negli usi e nelle consuetudini bancarie, nonché negli impegni che gli istituti di credito assumono nei confronti della clientela allorché dichiarano di rispettare le regole di comportamento indicate dalla relativa associazione di categoria, anche per ciò che attiene alla riservatezza nella raccolta e nel trattamento delle informazioni sui clienti (v. il Codice di comportamento del settore bancario e finanziario predisposto dall’Associazione bancaria italiana, parte I e parte IV, punto 2, cui la B.N.L. ha aderito nel giugno del 1996, nonché il codice di autodisciplina deliberato dall’A.B.I. in tema di intermediazione finanziaria, punto 1, cui la B.N.L. ha aderito nel dicembre del 1998; v. inoltre l’art. 11 del c.c.n.l. del 22 giugno 1995, relativo al personale direttivo delle banche che stabilisce il divieto per il funzionario di comunicare notizie riservate di ufficio).

4. Da quanto sopra esposto, emerge che, fuori dei casi di operazioni di comunicazione di dati connesse alle prestazioni richieste o ai servizi erogati (e dei casi di adempimento di obblighi normativi in base ai quali gli istituti di credito devono fornire determinate informazioni a soggetti pubblici), gli istituti stessi ed il relativo personale devono mantenere il riserbo sulle informazioni relative ai propri clienti e non divulgarle a terzi.

Il dipendente della B.N.L. che ha fornito i dati al legale li ha quindi comunicati in violazione del principio secondo cui i dati devono essere trattati lecitamente e secondo correttezza (art. 9, comma 1, lett. a), legge n. 675/1996) e degli impegni assunti dalla banca (che assume la responsabilità giuridica della violazione quale titolare del trattamento) nei confronti della clientela in relazione ai servizi prestati, senza che l’interessata ne venisse peraltro informata.

La segnalazione dell’interessata è pertanto fondata. Deve quindi ritenersi che la comunicazione non sia avvenuta nel rispetto del predetto principio.

La banca ha comunicato all’interessata di aver introdotto accorgimenti per evitare il ripetersi di analoghi comportamenti da parte dei propri dipendenti. Ha poi trasmesso all’Ufficio del Garante copia degli atti relativi al procedimento interno conclusosi con l’applicazione di una sanzione disciplinare. Si è potuto inoltre appurare che la banca aveva conferito al dipendente un incarico scritto per trattare i dati della clientela per le finalità proprie delle mansioni e delle attività affidate, e lo aveva invitato ad attenersi alle “normative interne aziendali” (in particolare, ad alcune circolari in materia di sicurezza dei dati), provvedendo anche alla diffusione interna dei richiamati codici di comportamento e di autodisciplina.

Pur in presenza di questi adempimenti, va comunque segnalata alla banca la necessità di impartire ulteriori istruzioni al personale affinché i princìpi richiamati nel presente provvedimento siano oggetto di un più diffuso e rigoroso rispetto.

Copia del presente provvedimento è altresì trasmessa per ogni opportuna conoscenza alle associazioni di categoria e di consumatori, nonché a soggetti e ad organismi pubblici e privati interessati.

Per questi motivi, il garante:

a) dichiara fondata la segnalazione nei termini di cui in motivazione;

b) segnala alla Banca Nazionale del Lavoro S.p.A., ai sensi dell’art. 31, comma 1, lett. c), della legge n. 675/1996, la necessità di impartire ulteriori istruzioni al personale per conformare il trattamento dei dati ai principi richiamati nel presente provvedimento, e di fornire all’Ufficio del Garante, entro il 30 giugno 2001, copia delle determinazioni adottate;

c) dispone la trasmissione di copia del presente provvedimento alle associazioni di categoria e di consumatori e a soggetti e ad organismi pubblici e privati interessati.


Documento informatico - Aggiornamento delle regole tecniche sui documenti informatici - 14 giugno 2001.

Il garante per la protezione dei dati personali: nella riunione odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice-presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

Vista la nota della Presidenza del Consiglio dei ministri-Dipartimento della funzione pubblica del 24 maggio 2001 con la quale è stato chiesto il parere del Garante in ordine ad uno schema di d.P.C.M. di aggiornamento delle regole tecniche concernenti i documenti informatici;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000 adottato con deliberazione n. 15 del 28 giugno 2000 e pubblicato sulla Gazzetta Ufficiale della Repubblica italiana n. 162 del 13 luglio 2000;
Relatore il dott. Mauro Paissan;

OSSERVA

La Presidenza del Consiglio dei ministri - Dipartimento della funzione pubblica ha chiesto il parere del Garante in ordine ad uno schema di d.P.C.M. di aggiornamento delle regole tecniche concernenti la formazione ed altre operazioni relative ai documenti informatici, già contenute nel d.P.C.M. 8 febbraio 1999.

Il Garante valuta positivamente la circostanza che le disposizioni in materia di documenti informatici siano aggiornate in relazione all’evoluzione delle conoscenze scientifiche e tecnologiche, come del resto previsto dall’articolo 8, comma 2, del testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa (d.P.R. 28 dicembre 2000, n. 445).

Questa Autorità osserva, però, che varie disposizioni dello schema trasmesso, in parte già contenute nel sostituendo decreto, recano norme di natura sostanziale o che assumono un valore sostanzialmente precettivo per effetto della loro formulazione, che non dovrebbero essere ricomprese fra le mere “regole tecniche” oggetto del presente schema (si vedano, fra le altre, la disposizione che stabilisce requisiti di onorabilità dei certificatori - art. 45 - o che riguarda la validità del documento informatico - art. 53 - come pure la previsione di “modalità di esecuzione” di una disposizione sui requisiti dei certificatori mediante circolare - art. 14, comma 3).

Non si vuole disconoscere l’utilità di un sistema di regole tecniche, omogenee e flessibili. Occorre tuttavia sottolineare l’esigenza che tale disciplina di carattere meramente tecnico sia tenuta distinta dalle disposizioni a carattere normativo, primario o regolamentare, la cui sede naturale è, semmai, il noto testo unico in materia di documentazione amministrativa.

Si invita, pertanto, a tener conto di questa osservazione in riferimento al complessivo tenore del provvedimento.

Quanto alle singole disposizioni dello schema il Garante osserva:

- art. 14, comma 4: per quanto sopra detto, non appare conforme alla natura tecnica delle disposizioni dello schema la previsione, in questa sede, di un potere di acquisizione di informazioni finalizzato all’esercizio di poteri di verifica e di controllo, fermo restando che l’AIPA potrà, comunque, esercitare tale potere ai sensi della normativa richiamata nell’art. 14, comma 4;

- art. 18, comma 2: sebbene il d.P.C.M. 9 febbraio 1999 contenga già una norma analoga, devono essere individuati criteri per una identificazione il più possibile uniforme degli utenti da parte dei certificatori, al fine di scongiurare il rischio di una eccessiva e disomogenea parcellizzazione delle modalità contenute negli appositi manuali;

- artt. 19 e 23: la previsione contenuta nell’art. 19 in ordine alla possibilità di uso di uno pseudonimo appare corretta e conforme all’art. 8, par. 3, della direttiva 1999/93/CE relativa al quadro comunitario sulle firme elettroniche. Si coglie però l’occasione per sottolineare (tenendo conto di quanto sopra osservato a proposito del ruolo riconosciuto alle regole tecniche in esame), che in relazione alle disposizioni contenute nell’art. 19 e nel successivo art. 23, permane l’esigenza di dare rapida attuazione alle restanti parti dell’articolo 8 della citata direttiva, per gli aspetti concernenti la raccolta di dati personali, la manifestazione del consenso e l’uso dei dati medesimi per fini diversi;

- art. 20: è necessario che la disposizione contenga un esplicito richiamo all’obbligo di informativa previsto dall’articolo 10 della legge n. 675/1996 in materia di protezione di dati personali;

- art. 40, comma 3, lett. p): appare necessario fissare criteri di omogeneità in ordine alle modalità di protezione della riservatezza da inserire nei manuali operativi, anche in considerazione del fatto che tali manuali sembrano adottabili senza il previo esame da parte dell’AIPA o di questa Autorità

- art. 55-bis, comma 2: anche in riferimento a tale disposizione, devono essere indicati i criteri cui le pubbliche amministrazioni devono attenersi per definire ed applicare regole tecniche diverse da quelle contenute nello schema in esame.

Si prega, infine, di menzionare nel preambolo l’avvenuta consultazione del Garante.

Tutto ciò premesso il garante:

esprime il parere richiesto nei termini di cui in motivazione.


Dati relativi allo svolgimento di attivita’ economiche - Appalti pubblici e documentazione delle forniture effettuate - 27 giugno 2001.

Il garante per la protezione dei dati personali:
in data odierna, con la partecipazione del prof. Stefano Rodotà, del prof. Giuseppe Santaniello, vice-presidente, del prof. Gaetano Rasi e del dottor Mauro Paissan, componenti e del dottor Giovanni Buttarelli, segretario generale;
esaminato il reclamo presentato da Eurocolumbus s.r.l.;
nei confronti di C.A.T. di Corsini G. & C. S.p.A.;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000 adottato con deliberazione n. 15 del 28 giugno 2000 e pubblicato sulla Gazzetta Ufficiale della Repubblica italiana n. 162 del 13 luglio 2000;
Relatore il prof. Stefano Rodotà;
Vista la documentazione in atti;

PREMESSO

Eurocolumbus s.r.l. lamenta che C.A.T. di Corsini G. & C. S.p.A. avrebbe illegittimamente comunicato a terzi alcuni dati personali che la riguardano raccolti nel corso di rapporti contrattuali intercorsi in passato fra le due società. In particolare la società C.A.T., in occasione dello svolgimento di gare per la fornitura di materiale sanitario, avrebbe incluso informazioni relative a Eurocolumbus s.r.l. “nelle referenze e nella documentazione di gara, creando turbativa”. La reclamante ha segnalato di essersi formalmente opposta al trattamento dei propri dati personali da parte della società C.A.T., tranne che per le “normali attività commerciali”, affermando di considerare ogni comunicazione dei dati stessi alla stregua di una violazione della legge n. 675/1996.

A tale istanza, ed al successivo invito a fornire un riscontro formulato da questa Autorità, il titolare del trattamento ha risposto sostenendo che:

- l’interessato non avrebbe a suo tempo esercitato alcuno dei diritti riconosciuti dall’art. 13 della legge n. 675, limitandosi a manifestare una generica opposizione al trattamento dei propri dati;

- la comunicazione delle informazioni relative a Eurocolumbus s.r.l. sarebbe avvenuta verso soggetti pubblici ai fini della partecipazione a gare d’appalto e secondo le prescrizioni del decreto legislativo 24 luglio 1992, n. 358;

- la preventiva informativa all’interessato sarebbe stata fornita per iscritto;

- sarebbero stati comunicati ad alcuni enti pubblici, a fini di partecipazione a gare d’appalto, solo gli estremi di talune forniture effettuate a favore di Eurocolumbus s.r.l., senza chiedere a tal fine il consenso di tale società poiché la legge n. 675 ne escluderebbe la necessità, trattandosi di dati personali relativi allo svolgimento di attività economiche.

Ciò premesso, il garante osserva:

Il reclamo presentato da Eurocolumbus s.r.l., che va qualificato come tale in conformità ai principi affermati nel provvedimento del Garante del 16 ottobre 1997 (pubblicato nel Bollettino Ufficiale del Garante “Cittadini e Società dell’Informazione”, n. 2, pag. 71 ss.), non è fondato.

Dalla documentazione acquisita nel corso del procedimento non risultano infatti profili di illiceità, ai sensi dell’art. 20, comma 1, della legge n. 675, della contestata comunicazione di dati personali del ricorrente, effettuata dalla C.A.T. di Corsini G. & C. S.p.a.

La società C.A.T. ha anzitutto prodotto per la partecipazione alle gare in questione propria documentazione contabile contenente dati personali di natura economica riferiti alla stessa. Inoltre, i dati più specificamente oggetto di contestazione e riferiti alla società reclamante, sono dati relativi allo svolgimento di attività economiche della stessa, per i quali, ai sensi del citato art. 20 comma 1, lettera e), della legge n. 675, non occorre la previa acquisizione del consenso.

Va altresì rilevato che il d. lg. 24 luglio 1992 n. 358, recante il “Testo unico delle disposizioni in materia di appalti pubblici di forniture”, prevede che le imprese concorrenti alle gare possano dimostrare le proprie capacità tecniche attraverso l’allegazione di diversi documenti, tra i quali compare anche l’elenco delle principali forniture effettuate durante gli ultimi tre anni, con il corrispettivo importo, data e destinatario (art. 14, comma 1, lett. a)).

Nel bando di gara indetta dal Reparto autonomo centrale della Guardia di Finanza, oggetto di particolare attenzione nel reclamo, era appunto previsto che le ditte interessate, per essere invitate, dovessero far pervenire la documentazione di cui alla predetta norma.

In relazione a quanto osservato, non risultano “motivi legittimi” che giustifichino l’opposizione al trattamento dei dati personali dell’interessato, ai sensi dell’art. 13, comma 1, lett. d), della legge n. 675/1996, restando comunque impregiudicato - malgrado l’esclusione del consenso - l’obbligo per la società C.A.T. di utilizzare in futuro i dati personali di Eurocolumbus s.r.l., sempre in modo lecito e corretto e sulla base di un’idonea informativa redatta nel rispetto dell’art. 10 della legge n. 675.

Per questi motivi, il garante:

dichiara infondato il reclamo.