PRECISAZIONI E CHIARIMENTI DELLA FIEGSULLA PRIVACY

(Ndr: Circolare sulla legge n. 675/96 (tutela dellariservatezza dei dati personali) così come modificata dalDecreto Legislativo n. 123 del 9 maggio 1997, emessa dalla Fiegnel mese di maggio 1997)

Facciamo seguito alle nostre precedenti comunicazionisu quanto in oggetto e, da ultimo, alla nostra circolare n. 46del 7 maggio scorso, per fornirVi ulteriori precisazioni e chiarimentisui complessi adempimenti imposti dalla legge n. 675/96 sullatutela delle persone e di altri soggetti rispetto al trattamentodei dati personali, anche a seguito del Decreto legislativo n.123 del 9 maggio 1997 (Gazzetta ufficiale n. 107 del 10 maggio1997), emanato dal Governo in attuazione della delega di cui allalegge n. 676, approvata contestualmente alla legge n. 675, nonchédelle indicazioni emerse nel corso della conferenza stampa delGarante del 7 maggio scorso.


CONTENUTI DEL DECRETO LGS N. 123/97

Mette conto di sottolineare come nel Decreto legislativon. 123/97 siano state recepite le istanze relative sia all'opportunitàdi un rinvio dell'entrata in vigore di alcune norme della leggen. 675/96, prospettate dalla Federazione fin dal 2 aprile scorso,sia all'introduzione di semplificazioni in materia di informativadegli interessati, di autorizzazione e di estensione delle deroghepreviste per i giornalisti professionisti a pubblicisti, praticantie collaboratori.

In particolare, per quanto riguarda gli aggiustamentiintrodotti dal citato Decreto lgs, richiamiamo la Vostra attenzionesull'articolo 1 che dispone che le informazioni da rendere all'interessatoal momento della raccolta dei dati possono essere fornite anche"oralmente" e non solo per iscritto, come in precedenzaprevisto dall'art. 10 della legge n.675/96.

Inoltre, l'art. 4, comma 2, del Decreto lgs. prorogaal 30 novembre 1997 il termine entro il quale va adempiuto l'obbligodell'informativa da fornire all'interessato qualora i dati venganoraccolti presso terzi e non direttamente presso l'interessato.In tale ultimo caso, l'obbligo dell'informativa decorre dall'8maggio come precedentemente previsto. Riguardo alla possibilitàora riconosciuta di fornire anche oralmente le informazioni all'interessato,va precisato che comunque è opportuno precostituirsi deglielementi probatori sull'avvenuta informativa, anche perchétale informativa è una delle condizioni perché l'interessatopossa esercitare i diritti di cui all'art. 13 della legge n. 675/1996.

Sempre in materia di informazioni rese al momentodella raccolta l'art. 2, comma 1, del Decreto lgs. dispone cheil codice deontologico di cui all'art. 25, commi 2, 3 e 4 dellalegge n. 675/96, potrà prevedere forme semplificate perle informative da rendere al momento della raccolta per i trattamentieffettuati dai giornalisti.

A tale proposito, per evitare la paralisi delle redazioni,la Federazione ha prospettato al Garante l'opportunitàdi una sua pronuncia preliminare, in base alla facoltàconferitagli dall'art. 10, 4° comma, della legge n. 675,diretta ad escludere i giornalisti dall'obbligo dell'informativapreventiva all'interessato, dichiarando la sproporzione tra imezzi necessari per effettuare tale informativa rispetto al dirittooggetto di tutela, ovvero la sua impossibilità quando sitratti di dati raccolti nell'esercizio della professione di giornalista.

L'art. 2, comma 2, del Decreto lgs. accoglie inoltreun'ulteriore esigenza rappresentata dalla Federazione estendendole deroghe previste dall'art. 25 della legge n. 675/96 per i trattamentidi dati sensibili nell'esercizio della professione di giornalistiai soggetti iscritti nell'albo dei pubblicisti e nel registrodei praticanti di cui agli artt. 26 e 33 della legge n. 69/1963,nonché ai collaboratori occasionali. Per questi ultimi,tuttavia, la deroga è limitata ai trattamenti temporaneifinalizzati esclusivamente alla pubblicazione o alla diffusioneoccasionale di articoli, saggi e altre manifestazioni del pensiero.In altri termini la deroga, che come noto esime i giornalistidal richiedere il consenso scritto dell'interessato, ècircoscritta al tempo necessario per elaborare un articolo e diessa non si può beneficiare per sempre.

Va sottolineato che tale estensione è stataoperata dal Governo sulla base della delega di cui all'art. 1,comma 1, lettera h) della legge n. 675/96.

La deroga, peraltro, continua a non applicarsi peri dati idonei a rivelare lo stato di salute e la vita sessuale,per i quali coloro che esercitano l'attività giornalisticasono tenuti a munirsi del consenso scritto preventivo dell'interessato.Anche su tale situazione la Federazione è intervenuta sulGarante sostenendo come anche per i trattamenti di questi datidebbano essere introdotti dei temperamenti soprattutto quandosi tratti di dati divulgati dagli stessi interessati. Si èancora in attesa di conoscere l'orientamento del Garante in proposito.

Per quanto riguarda l'autorizzazione preventiva delGarante al trattamento di dati sensibili di cui agli artt. 22,23, 24 e 25 della legge n. 675/96, il Decreto lgs. n. 123/97 hadisposto lo slittamento al 30 novembre 1997 del termine a partiredal quale è richiesta l'autorizzazione per il trattamentodi tali dati. Come noto, l'art. 41, comma 7, della legge n. 675/96,prevedeva che il termine decorresse trenta giorni dopo l'entratain vigore della legge e, pertanto, dal 7 giugno 1997. Va tuttaviarilevato che, poiché l'art. 22, comma 2, della legge disponeche il Garante deve pronunciarsi entro trenta giorni sulla richiestadi autorizzazione, decorsi i quali la mancata pronuncia equivalea rigetto, è opportuno cautelarsi inviando la richiestadi autorizzazione non oltre il 31 ottobre 1997. Si rischia altrimenti,in assenza della pronuncia, di non poter trattare i dati sensibiliper i quali è stata richiesta l'autorizzazione.

Per i trasferimenti di dati all'estero di cui all'art.28 della legge il termine a partire dal quale è richiestal'autorizzazione non è stato prorogato e, pertanto, restaquello del 7 giugno. Anche in tal caso, in considerazione deitempi di pronuncia (30 giorni), è opportuno procedere immediatamentealla richiesta. I limiti al trasferimento di dati personali all'estero,comunque, non si applicano al trasferimento di dati personalieffettuato nell'esercizio della professione di giornalista e perl'esclusivo perseguimento delle relative finalità (art.28, comma 6).

L'art. 4, comma 1, del Decreto lgs n. 123, inoltre,accogliendo sia pure parzialmente richieste in tal senso formulatedalla Federazione, attribuisce al Garante la facoltà dirilasciare un'unica autorizzazione per categorie di titolari odi trattamento.


AMBITO DI APPLICAZIONE DELLA LEGGE N. 675/96

E' opportuno innanzitutto ribadire che la legge disciplinatutti i trattamenti di dati personali e, quindi, qualsiasi informazioneche consenta di identificare, direttamente o indirettamente, personefisiche, giuridiche, enti o associazioni. Pertanto la legge siapplica a tutti i soggetti che trattano dati in ogni settore diattività e, quindi, anche in quello dell'editoria giornalistica.Alcune deroghe limitate peraltro soltanto a specifici adempimenti(richiesta all'interessato del consenso al trattamento di datipersonali che lo riguardano; richiesta di autorizzazione al Garanteper il trattamento di dati sensibili) riguardano i dati personalitrattati nell'esercizio della professione di giornalista. Le derogheper i giornalisti si fondano non solo sul requisito soggettivodell'iscrizione all'albo professionale, ma anche sulla sussistenzadi requisiti oggettivi nel senso che il trattamento dei dati personalida parte dei giornalisti professionisti deve avere come scopoil perseguimento delle finalità proprie della professione.Nei casi di trattamenti consistenti nella comunicazione e nelladiffusione dei dati, ovvero quando i trattamenti riguardino datisensibili - esclusi, comunque, quelli idonei a rivelare lo statodi salute e la vita sessuale - i requisiti oggettivi si amplianoulteriormente essendo condizione di liceità del trattamentoche l'attività svolta rientri nei limiti del diritto dicronaca posti a tutela della riservatezza e in particolare dell'essenzialitàdell'informazione riguardo a fatti di interesse pubblico.

Mentre la direttiva comunitaria n. 95/46 del 24 ottobre1995 tutela soltanto i trattamenti di dati personali contenutio destinati al figurare in banche dati, la legge n. 675/96, chedella direttiva è attuazione, scinde completamente i concettidi trattamento e di banca dati. Perché un trattamento possaessere giuridicamente rilevante e quindi ricadere nell'ambitodi applicazione della legge italiana non occorre che i relatividati personali siano destinati ad essere inseriti in una bancadati. Tale circostanza comporta una abnorme amplificazione dell'ambitodi applicazione della norma che si estende a tutti i trattamenti,automatizzati o meno, svolti nel territorio italiano, di datiriguardanti persone fisiche, giuridiche, enti, associazioni, conesclusione, oltretutto parziale, dei trattamenti per fini esclusivamentepersonali.

Proprio in relazione all'estensione di tale ambito,un'applicazione pedissequa della legge comporterebbe in molticasi effetti del tutto aberranti e tali da penalizzare l'operativitàdelle aziende editrici che, rispetto ad altri settori di attività,ne sono destinatarie non solo per le attività comuni adaltre imprese, ma anche per quelle di informazione che si basanofondamentalmente su trattamenti di dati personali. Di qui l'esigenzadi interpretare la complessa normativa della legge n. 675/96 nonsolo in base ad dettato letterale ma tenendo anche conto di criterilogico-sistematici che consentano alle imprese margini di operativitàin rapporto alle loro proprie attività istituzionali.


INDIVIDUAZIONE DEL TITOLARE

Per quanto riguarda gli adempimenti immediati previstidalla legge, si sottolinea l'esigenza di procedere fin dalla datadi entrata in vigore della legge (8 maggio 1997) all'individuazionedel titolare e, se necessario, del responsabile del trattamentononché dei vari incaricati dei trattamenti. L'individuazionedel titolare è condizione per poter procedere a tutte lecomunicazioni previste dalla legge per i trattamenti di dati personalieffettuati in ambito aziendale. La legge definisce all'art. 1il titolare come la persona fisica o giuridica o altro ente, associazioneo organismo cui competono le decisioni in ordine alle finalitàed alle modalità del trattamento di dati personali, compresequelle relative alla sicurezza. Sussiste quindi una stretta relazionetra il soggetto designato come titolare e le banche dati utilizzateper le operazioni di trattamento. Proprio in rapporto alle finalitàed alle specificità di ogni singola banca dati (gestionedel personale, della distribuzione e della diffusione, del marketing,dei rapporti con i fornitori, delle attività redazionali)è da ritenere che possano essere individuati piùtitolari di trattamenti. Poiché all'interno di ogni singolaazienda editrice può essere individuato un numero ancheelevato di trattamenti si manifesta peraltro l'opportunitàdi riuscire a circoscrivere i trattamenti in base alle caratteristicheomogenee delle attività aziendali onde contenere i numerosiadempimenti previsti dalla legge ed assicurare un controllo efficacedei sistemi di elaborazione dei dati.

Se al titolare competono le decisioni in ordine allefinalità ed alle modalità del trattamento, non sembrache esso possa essere un soggetto estraneo all'impresa e che,comunque, possa delegare una funzione che gli attribuisce pienipoteri sul trattamento, precisi doveri di istruzione, di verificae di vigilanza sulle attività dei responsabili eventualmentedesignati e degli incaricati delle operazioni.

Le aziende editrici devono procedere con sollecitudinealla individuazione del titolare o dei titolari di ciascun complessodi trattamenti in base alla articolazione delle ordinarie attivitàaziendali. In linea di principio, e in assenza di differenti determinazioni,tenendo presente la già menzionata definizione del titolaredi cui all'art. 1 della legge n. 675/96, titolare dei trattamentiè innanzitutto la società editrice e per essa ilsuo legale rappresentante.

Peraltro, il titolare può non essere necessariamentela società editrice, in quanto detentrice dei dati, maanche un dirigente dotato di ampi poteri decisionali in quantodeve provvedere alle finalità ed alle modalità deltrattamento, incluso il profilo della sicurezza e, quindi, esserein grado di decidere autonomamente anche in materia di spesa.

Vi può essere, pertanto, un solo titolare,così come possono essere nominati più titolari inrapporto alle caratteristiche più o meno omogenee dei trattamentie dalle banche dati cui ineriscono.

Nel caso si propenda per la nomina di piùtitolari va tenuto presente che essi non possono essere tali invirtù di una mera delega da parte del rappresentante legaledella società, ma dovranno essere individuati dal consigliodi amministrazione che dovrà dotarli di apposita rappresentanzalegale, predeterminare i loro compiti di vigilanza e di indirizzonella gestione dei trattamenti e la durata dell'incarico.

I compiti che i titolari sono chiamati a svolgerea partire dalla data di entrata in vigore della legge possonoessere riassuntivamente indicati come segue:

1) Individuazione e nomina degli eventuali responsabilidei trattamenti e delle operazioni a ciascuno di essi affidate.

2) Elaborazione di un contratto-tipo di affidamentodei trattamenti con relativo capitolato di sicurezza, di reperimentodelle informazioni (predisposto dal servizio legale con la collaborazionedei vari responsabili del trattamento) e stipula del relativocontratto (v. allegato n. 1, contenente un'ipotesi di incaricodi responsabile di trattamento, nel caso si tratti di una societàesterna. Con gli opportuni adeguamenti può essere utilizzataanche per incarichi di responsabilità a personale interno).

3) Nomina scritta dei propri dipendenti incaricatidi compiere una o più operazioni di trattamento, con istruzioniper la tutela della sicurezza non solo informatica (v. all. n.2).

4) Informazioni scritte e richiesta di consenso aidipendenti per il trattamento dei loro dati. Tale procedura sembranecessaria in quanto alcuni dati possono essere sensibili (iscrizionea sindacati per il pagamento dei relativi contributi, ovvero certificatimedici per comprovare stati di malattia ovvero possono esserecomunicati (v. all. n. 3).

5) Comunicazione ai dipendenti circa le norme operativee le istruzioni sul trattamento dei dati personali (v. all. n.4).

6) Informazioni scritte a ciascun interessato preventivealla raccolta o ad altre operazioni di trattamento nei rapporticontrattuali con terzi (v. all. n. 5).

7) Eventuale comunicazione di rispetto nei rapportidi subfornitura o di servizio con soggetti esterni ai quali vengonoconferiti incarichi di trattamento, ma non la responsabilità(v. all. n. 6).

8) Richiesta di autorizzazione da presentare al Garanteper la riservatezza a partire dal 30 novembre 1997 per il trattamentodi dati sensibili (v. all. n. 7).

9) Presentare le richieste di autorizzazione al Garanteper la eventuale trasmissione di dati all'estero in Paesi extracomunitari(seguire lo schema di cui all'all. 7).


AUTORIZZAZIONE

Per quanto riguarda più in particolare l'autorizzazione,essa è richiesta per i trattamenti dei dati sensibili dicui agli artt. 22 e 24 della legge n. 675, a partire dal 30 novembre1997 (art. 4, Decreto lgs. n. 123/97). In precedenza il termineera il 7 giugno1997 (art. 41, comma 7, della legge n. 675/96).

Come già osservato, l'art. 22, comma 2, dellalegge dispone che qualora il Garante non rilasci l'autorizzazioneentro trenta giorni dalla relativa richiesta il silenzio equivalgaa rigetto della richiesta. Ne consegue che, ove il Garante, ancheper mera disfunzione organizzativa, non risponda nel suddettotermine l'impresa verrebbe a trovarsi nell'impossibilitàdi trattare i relativi dati (ad esempio, le trattenute in bustapaga da destinare ai contributi sindacali effettuati in base all'iscrizionedei dipendenti alle varie organizzazioni sindacali, ovvero l'allegazionedi certificati medici giustificativi di periodi di malattia).E' pertanto opportuno che le imprese predispongano in anticipo(non oltre il 31 ottobre 1997) le richieste di autorizzazioneutilizzando il modello allegato (all. n. 7) per evitare le assurdeconseguenze sopra citate.

Sempre in base ad esigenze di razionalitàe di semplificazione, ed anche tenuto conto delle indicazionifornite dal Garante nel corso della conferenza stampa del 7 maggioscorso, è da ritenere che l'autorizzazione possa essererichiesta una tantum, sotto forma di autorizzazione generale altrattamento dei dati sensibili, e che essa abbia carattere generalee cioè riguardi tutti i dati sensibili trattati dall'impresanelle proprie attività istituzionali.


ATTIVITA' GIORNALISTICA: TRATTAMENTO E TITOLAREDEI TRATTAMENTI

Per il trattamento di dati personali sensibili -ad eccezione dei dati idonei a rivelare lo stato di salute e lavita sessuale - effettuato nell'esercizio della professione giornalistica,non è richiesto il consenso dell'interessato. Stando allalettera dell'art. 25, 1° comma della legge, non èrichiesta l'autorizzazione preventiva del Garante, soltanto nelcaso in cui il trattamento venga effettuato in conformitàdel codice deontologico che dovrà essere adottato dal Consiglionazionale dell'Ordine dei giornalisti entri sei mesi dalla propostain tal senso che il Garante dovrà rivolgere a detto Consiglio.

Pertanto, fino all'entrata in vigore di detto codice,si dovrebbe ritenere che i trattamenti dei dati sensibili effettuatidai giornalisti, per il perseguimento delle finalità propriedella loro professione, nei limiti del diritto di cronaca e dell'essenzialitàdell'informazione riguardo a fatti di interesse pubblico, a partiredal 7 giugno 1997 (art. 41, comma 7), siano da considerarsi lecitisoltanto se autorizzati dal Garante.

Tuttavia, sempre nel corso della citata conferenzastampa, il Garante per la protezione dei dati personali ha affermatoche per i trattamenti di dati sensibili - inclusi quelli idoneia rilevare lo stato di salute e la vita sessuale - non ènecessaria alcuna autorizzazione purché siano conformial codice di cui all'art. 25, commi 2 e 3. A tale proposito, laFederazione si riserva di intervenire nuovamente sul Garante perottenere definitiva conferma di tale interpretazione e, in particolare,della circostanza che fino all'entrata in vigore del Codice nonè necessario richiedere alcuna autorizzazione per i trattamentieffettuati nell'ambito della professione di giornalista.

Per quanto in particolare riguarda i dati idoneia rilevare lo stato di salute e la vita sessuale, i relativi trattamentieffettuati dai giornalisti, sempre in relazione alle finalitàe ai limiti sopra descritti, dovrebbero richiedere il consensoscritto dell'interessato.

Riassuntivamente, al fine di poter usufruire dellederoghe riguardanti il consenso per i trattamenti di dati personalisensibili nell'esercizio della professione di giornalista nonè sufficiente svolgere attività di giornalista,ma occorre che sussistano le seguenti condizioni:

- il soggetto che tratta i dati sia iscritto all'albodei giornalisti professionisti oppure nel registro dei praticantio nell'elenco dei pubblicisti, ovvero sia un collaboratore (intale ultimo caso limitatamente al periodo necessario alla elaborazionee alla pubblicazione dell'articolo);

- il trattamento sia effettuato per l'esclusivo perseguimentodelle finalità professionali;

- siano rispettati i limiti propri del diritto dicronaca posti a tutela della riservatezza;

- l'informazione sia essenziale in quanto riguardantefatti di interesse pubblico;

- il trattamento non riguardi dati idonei a rivelarelo stato di salute e la vita sessuale, in quanto per tali datioccorre il consenso scritto dell'interessato;

- quando sarà approvato il codice di deontologiada parte del Consiglio nazionale dell'Ordine dei giornalisti o,in alternativa, dallo stesso Garante, il trattamento sia conformea tale codice.

Considerata la non chiara formulazione dell'art.25 della legge n. 675/96 e nell'attesa che venga definito il codicedi deontologia, la Federazione intende intervenire nuovamentesul Garante perché vengano meglio precisati gli ambitiapplicativi della disposizione con riferimento alla sussistenzao meno dell'obbligo di richiedere l'autorizzazione per i trattamentidi dati sensibili e, in particolare, di quelli idonei a rivelarelo stato di salute e la vita sessuale.

In attesa di conoscere gli orientamenti del Garante,è stato comunque predisposto per cautela un modello dirichiesta di autorizzazione per le attività giornalistiche(v. all. n. 8), che le aziende potranno conservare ed utilizzaresoltanto in un secondo momento, vale a dire una volta conosciutii criteri interpretativi seguiti dal Garante. In ogni caso, sitratterà di richieste di autorizzazione per i trattamentidi dati sensibili effettuati all'interno delle redazioni dei giornalida presentare una tantum per tutti gli innumerevoli trattamentiche verranno posti in essere dai giornalisti. Nel modello èstato ritenuto opportuno estendere l'autorizzazione ai dati idoneia rivelare lo stato di salute e la vita sessuale almeno quandosiano resi noti dagli stessi interessati o in occasione di eventiparticolari quali calamità, incidenti e similari. In talcaso il consenso dell'interessato dovrebbe ritenersi implicito.

In relazione a quanto già sottolineato circala possibilità di individuare più titolari, peri trattamenti di dati svolti nell'ambito delle redazioni il problemadella individuazione del titolare di tali trattamenti potrebbeessere opportunamente risolto nominando titolare il direttoreresponsabile delle testate edite. Ciò appare consigliabile,considerati i poteri di vigilanza e di controllo che il titolaredeve necessariamente esercitare sui trattamenti effettuati nelleredazioni, nonché le deroghe sul consenso degli interessatie sull'autorizzazione del Garante previste dalla legge per i trattamentieffettuati dai giornalisti.E' difficile pensare che un titolareestraneo alla redazione possa esercitare i poteri che la leggegli attribuisce sugli archivi gestiti dai giornalisti. Ne, d'altraparte, il problema verrebbe superato con la nomina, da parte diun titolare di estrazione amministrativa, di uno o piùresponsabili dei trattamenti individuati tra i redattori. Infatti,anche in tali casi, i responsabili dei trattamenti dovrebberoessere assoggettati ai poteri direttivi e di vigilanza del titolarein un'area di attività come quella giornalistica che nontollera ingerenze esterne.

E' stato autorevolmente osservato come la versioneattuale dell'art. 25 appaia meritevole di essere perfezionata.L'articolo in questione , infatti, "appare troppo rigido,anche in considerazione del fatto - probabilmente sottovalutato- che la legge (incluso lo stesso art. 25) si applica non soloalle banche dati create dal giornalista, ma anche alla mera raccoltae divulgazione di una notizia che non sia immagazzinata, dopola pubblicazione, in archivi diversi da quelli che riproduconol'edizione stampata anche su supporto informatico". Tralasciandol'aspetto relativo agli archivi redazionali che sarà approfonditopiù avanti, si sottolinea come lo stesso autore sostenga,inoltre, che "applicato alla lettera, il divieto di diffusionedei dati sanitari da parte dei giornalisti può portarea conseguenze non ragionevoli e che sembrano andare oltre la volontàdel legislatore. Tenendo presente quanto osservato a propositodelle definizioni di "trattamento" e di "dato personale",l'art. 25, nella versione attuale, potrebbe far ritenere che siapreclusa la diffusione non consensuale di ogni minimo particolaresulla salute di un personaggio "pubblico" (ad esempio,un ricovero ospedaliero), oppure su un illecito commesso da unosquilibrato o, ancora, su un incidente stradale cagionato dall'abusodi alcool (per questi ultimi fatti, si dovrebbero riportare, insostanza, le sole iniziali delle generalità degli interessati,che peraltro li renderebbero egualmente identificabili in certicontesti).Viceversa, una deroga senza condizioni avrebbe permessola diffusione indiscriminata di certe notizie la cui divulgazioneva disciplinata contemperando gli interessi coinvolti" (1).


DATO PERSONALE E TRATTAMENTI NELL'ESERCIZIODELL'ATTIVITA' GIORNALISTICA

L'ambito di applicazione della legge riguarda iltrattamento di dati personali da chiunque effettuato nel territoriodello Stato.

Per dato personale deve intendersi, ai sensi dell'art.1, comma 2, lett. c), della legge n. 675, qualunque informazionerelativa a persona fisica, persona giuridica, ente od associazione,identificati o identificabili, anche indirettamente , medianteriferimento a qualsiasi altra informazione, ivi compreso un numerodi identificazione personale. La stessa genericità dellalocuzione "qualunque informazione" indurrebbe a ritenereche qualsiasi dato di natura sia oggettiva che soggettiva checonsenta l'identificazione diretta o indiretta di uno dei soggetticosiddetti interessati dovrebbe essere considerato come dato personale,con tutte le conseguenze di legge.

Tale impostazione, pur formalmente corretta, porterebbesul piano operativo all'assoluta ingestibilità del sistema.E' da ritenere , pertanto, che, ad esempio, le valutazioni e igiudizi su persone o organismi espressi soggettivamente da chiprocede al trattamento sfuggano alla sfera applicativa della leggee non siano da ritenere dati personali, essendo del tutto carentiquei requisiti di obiettività e di appartenenza reale adun altro soggetto, ancorché vengano raccolte e trattate.D'altra parte, in una intervista al settimanale "Il Salvagente",n. 18, dell'8 maggio scorso, il Prof. Ugo De Siervo, uno dei quattromembri dell'organo collegiale di garanzia della riservatezza,rispondendo alla domanda su come si farà a considerareil valore di dato sensibile per categorie quali le opinioni filosofiche,politiche o di altro genere, ha affermato quanto segue: "Nonsi esclude in via generale che si possano conservare questi dati.Però qui c'è un controllo molto più forteo dell'interessato o del Garante, o di entrambi.

Ma la tecnica è questa: nei casi di conflitto,il privato chiede giustizia al Garante o all'autorità (giudiziaria)e in quella sede si qualifica se il dato è sensibile ola violazione è tollerabile.

Si sa comunque che un certo nucleo di scelte personalissimenon può essere violato. Certo una cosa è dire insede giornalistica, ad esempio, il Professor De Siervo ècattolico e ha una certa idea dello Stato. Si tratta di un elementodi valutazione. Cosa diversa è se si tenesse una schedaturadi tutti i professori universitari in base all'appartenenza religiosa,politica, eccetera".

Considerato che le opinioni e le valutazioni di caratteresoggettivo alle quali fa riferimento il commento del Prof. DeSiervo riguardano dati cosiddetti sensibili, per quali la leggeappresta una tutela più forte, deve ritenersi a maggiorragione che analoghe opinioni e valutazioni riguardanti dati nonsensibili siano fuori dell'ambito di applicazione della leggestessa e che, quindi, il loro trattamento non è assoggettatoa obblighi di informativa, consenso ed accesso.

Tali opinioni e valutazioni sono peraltro destinatiad assumere le caratteristiche di dato personale allorchéescono dalla sfera soggettiva di chi li ha formulati per esserecomunicati a terzi, perdendo in tal caso l'elemento della soggettività.

Inoltre, in relazione alla definizione di trattamento,è da ritenere che esso non possa essere configurabile inalcune attività di raccolta che vengono svolte all'internodei giornali.

Infatti, la stessa esigenza di identificare un titolareche ne decida finalità e modalità, porta necessariamentead escludere dalla definizione di trattamenti raccolte che riproducono,anche su supporto informatico, libri, giornali e testi, pubblicatio meno, in quanto i dati personali citati all'interno di taliopere o documenti non sono oggetto di specifiche decisioni ditrattamento assunte da un titolare, ma rappresentano un elementoincidentale e non necessario. Se così non fosse, si arriverebbeall'assurdo di dover considerare trattamenti le biblioteche, leemeroteche ed ogni raccolta di pubblicazioni o di testi (dallaGazzetta ufficiale al Foro italiano) conservata per fini di documentazionesu supporti cartacei ovvero informatici. E' pertanto importantestabilire una netta linea di demarcazione tra le fonti da cuitrarre i dati e i trattamenti che su tali fonti possono essereoperati. Le fonti - e ad esse sono assimilabili gli archivi redazionalicontenenti i precedenti numeri di giornali o articoli giàoggetto di pubblicazione ovvero non pubblicati ma conservati inmemoria - non sono da considerare trattamenti e, quindi, sonoda ritenere fuori dal campo di applicazione della legge.


NOMINA DEL RESPONSABILE DEL TRATTAMENTO

Il responsabile del trattamento non è unafigura necessaria come si ricava dalla formulazione dell'art.8 della legge n. 675.

Tuttavia, qualora non venga nominato, le relativeresponsabilità ricadono sul titolare che, pertanto, dovrebbepossedere l'esperienza e la capacità anche in campo informaticoche la legge richiede al responsabile. La figura del responsabile,di per sé eventuale, finisce per diventare necessaria soprattuttoladdove si riconosca la titolarità del trattamento neipiù alti vertici aziendali. Il responsabile puòessere un dipendente o un collaboratore dell'azienda (personafisica), ovvero una società di servizi esterna (personagiuridica) o un'associazione od organismo preposti dal titolareal trattamento di dati personali (art. 1, comma 2, lett. e). Icompiti affidati al responsabile devono essere analiticamentespecificati per iscritto (art. 8, comma 4).

Come già detto, il modello di contratto-tipodi affidamento del trattamento al responsabile è riportatoin allegato (v. all. n.1).

I compiti del responsabile sono fondamentalmentei seguenti:

1) Censimento delle operazioni da eseguire (raccolta,registrazione o memorizzazione, organizzazione, conservazione,elaborazione, modificazione, selezione, estrazione, raffronto,utilizzo, interconnessione, blocco, comunicazione, diffusione,cancellazione, distruzione).

2) Predisposizione delle misure di sicurezza. Lemisure di sicurezza devono rispondere alle migliori caratteristichetecniche e devono essere tali da ridurre al minimo i rischi didistruzione o perdita, anche accidentale, dei dati, di accessonon autorizzato o di trattamento non consentito (es.: comunicazione)o non conforme alle finalità della raccolta.

3) Definizione delle modalità e dei tempiper il reperimento delle informazioni, in caso di richiesta degliinteressati.

4) Nomina scritta degli incaricati di compiere unao più operazioni di trattamento, con istruzioni per latutela della sicurezza, non solo informatica.

5) In caso di effettuazione di operazioni di raccoltadati oppure di comunicazione di dati, il responsabile deve preventivamentedarne informazione scritta a ciascun interessato e chiederne ilconsenso specifico ed espresso se non sussistono condizioni diesenzione (artt. 12 e 20 legge), oppure assicurarsi che il titolarestesso vi abbia provveduto.

6) In caso di effettuazione di qualunque operazionedi trattamento di dati sensibili, ottenimento del previo consensoscritto dell'interessato e dell'autorizzazione del Garante, oppureassicurarsi che il titolare stesso vi abbia provveduto.

7) In caso di effettuazione di operazioni di trasferimentodi dati all'estero in Paesi extracomunitari, richiesta di autorizzazionedel Garante, oppure assicurarsi che il titolare vi abbia provveduto.

8) Rispetto delle modalità di raccolta (oveessa vi provveda) e dei requisiti dei dati, prescritti dall'art.9, o assicurarsi che vi provveda il titolare.


INCARICATO DEL TRATTAMENTO

L'incaricato del trattamento è colui che elaborai dati personali attenendosi alle istruzioni del titolare o delresponsabile (art. 8, 5° comma).

E' dunque l'operatore che all'interno dell'aziendaha accesso ai dati e li utilizza. Può essere un dipendentedell'impresa ovvero un soggetto legato all'impresa da un contrattocome l'appalto o il mandato.

L'incarico deve essere formulato per iscritto (v.all. n. 2). Ciò comporta l'opportunità di una precisaindividuazione dei compiti dei singoli dipendenti all'internodell'impresa e l'esigenza di impartire e di vietare un utilizzodiverso da quello definito dal titolare o dal responsabile (v.all. n. 4). Nella fase di prima applicazione della legge, si consigliapertanto di qualificare come incaricati del trattamento tuttii dipendenti che possano avere accesso ai dati personali oggettodi trattamento in ambito aziendale, fornendo istruzione su regole,cautele e misure di sicurezza da rispettare.


INFORMATIVA AGLI INTERESSATI

L'art. 10 della legge n. 675 prescrive che l'interessatoo la persona presso la quale sono raccolti i dati devono esserepreventivamente informati oralmente (modifica introdotta dall'art.1 del Decreto lgs. n. 123/97) o per iscritto su una serie di elementiriguardanti le finalità e le modalità del trattamento, la natura obbligatoria o facoltativa del conferimento, le conseguenzedi un rifiuto a rispondere , l'ambito di comunicazione e di diffusionedei dati, i diritti di cui all'art. 13 (accesso, aggiornamento,rettifica, opposizione), gli estremi identificativi del titolaree del responsabile. L'informativa deve pertanto precedere l'acquisizionedel consenso dell'interessato al trattamento dei suoi dati personalianche perché il consenso per essere validamente prestatodeve essere espresso liberamente, in forma specifica e documentataper iscritto (art. 11, 3° comma).L'informativa va data entroil 30 novembre 1997 (art. 4, comma 2, Decreto lgs. n. 123/97)per i dati raccolti presso terzi, mentre per quelli raccolti pressol'interessato tale obbligo è già in vigore dall'8maggio.

Come si può rilevare nelle schede costituentigli allegati nn. 3 e 4, le informative agli interessati sono stateaccorpate con il consenso per limitare e semplificare le proceduredi adempimento degli obblighi di legge.

E' da sottolineare che l'art. 10, comma 4, dellalegge prevede delle esimenti dall'informativa soltanto nel casoin cui i dati personali non sia raccolti presso l'interessato.Tali esimenti operano quando l'informativa all'interessato comportiun impiego di mezzi che il Garante dichiari manifestamente sproporzionatirispetto al diritto tutelato ovvero si riveli, sempre a giudiziodel Garante, impossibile, ovvero nel caso in cui i dati sianotrattati in base ad un obbligo di legge, di regolamento o derivantedalla normativa comunitaria, ovvero per far valere o difendereun diritto in sede giudiziaria.

E' evidente come i tempi di lavorazione delle notizieall'interno pressoché impossibile osservare l'obbligo diinformativa a tutti gli interessati. Come già detto, laFederazione è già intervenuta presso il Garantesottolineando l'esigenza che questi, avvalendosi della facoltàconferitagli dall'art. 10, 4° comma della legge n. 675, sipronunci in via preliminare affermando il principio della sproporzionetra i mezzi necessari per effettuare l'informativa all'interessatorispetto al diritto oggetto di tutela, ovvero della sua oggettivaimpossibilità quando si tratti di dati raccolti e trattatinell'esercizio delle attività giornalistiche.

Il Garante non si è ancora pronunciato sutale questione, anche se è da ritenere che l'esigenza prospettatanon possa essere disconosciuta a meno che non si voglia procurarela paralisi delle redazioni.

Sempre in un'ottica di ragionevolezza e di semplificazione,al Garante è stata altresì prospettata la possibilitàdi configurare delle ipotesi in cui l'informativa all'interessatovenga realizzata attraverso comunicazioni destinate a collettivitàdi soggetti. Ad esempio, l'esposizione dell'informativa, quandonon sia necessario il consenso, negli spazi appositamente dedicatialle comunicazioni del personale. L'art. 10, infatti, disponesoltanto che gli interessati debbano essere informati preventivamenteoralmente o per iscritto. Alcuni settori, come quello assicurativo,hanno addirittura prospettato al Garante la possibilitàdi fornire l'informativa mediante sistemi di pubblicitàcollettiva come, ad esempio, la pubblicazione della stessa sualmeno due quotidiani a diffusione nazionale. Sugli sviluppi ditali ultime ipotesi non mancheremo di tenerVi informati.

In relazione a campagne promozionali degli abbonamenti,attraverso i giornali o l'invio di materiale pubblicitario, dacondurre nei riguardi di persone già abbonate o di cuicomunque si conoscono i dati e di persone di cui non si conosconoi dati, proponiamo in allegato due schemi di informativa che,a nostro avviso, in questa prima fase di applicazione della legge,potrebbero essere utilizzati dalle aziende editrici (v. all. nn.9 e 10). Il trattamento di tali dati non richiede il consensodell'interessato in quanto relativi allo svolgimento di attivitàeconomiche (art. 12, comma 1, lett. f)


NOTIFICAZIONE (ART. 7)

La legge richiede che il trattamento dei dati personalisia condizionato dalla preventiva notificazione al Garante daparte del titolare. A tale obbligo sono pertanto soggetti tuttii trattamenti operati all'interno di un'impresa editrice, inclusiquelli che vengono effettuati dai giornalisti all'interno delleredazioni. La notificazione al Garante deve essere preventivae per iscritto (a mezzo di lettera raccomandata ovvero con altromezzo idoneo a certificarne la ricezione). Ai sensi del 2°comma dell'art. 7, essa è effettuata una sola volta, aprescindere dal numero delle operazioni da svolgere e dalla duratadel trattamento e può riguardare uno o più trattamenticon finalità correlate, La locuzione "finalitàcorrelate" appare generica e non chiara se riferita allemolteplici attività che si svolgono nelle redazioni deigiornali. Ad esempio, viene da chiedersi se "finalitàcorrelate" possano essere individuate in una molteplicitàdi trattamenti riguardanti un tema specifico oggetto di un articoloo di un'inchiesta, ovvero nel complesso dei trattamenti effettuatinei singoli reparti redazionali (politica , cronaca, economia,cultura, spettacolo, cronaca locale), ovvero nell'attivitàredazionale complessiva che si svolge all'interno di un giornale.Analoghe considerazioni valgono per tutti i settori di attivitànon redazionali come gli abbonamenti, la distribuzione, la diffusione,il marketing, gli affari del personale. A tale proposito, la Federazioneè intervenuta presso il Garante per rappresentare l'esigenzache nell'ambito del regolamento relativo all'organizzazione eal funzionamento dell'Ufficio del Garante, da emanare con D.P.R.entro tre mesi dalla data in vigore della legge, nel quale dovrannoessere precisate le modalità di notificazione (art. 33,3° comma), venga individuato un modello di notificazioneper le imprese editrici che valga per tutti i trattamenti effettuatial loro interno e che ne riconosca le finalità correlatein quanto destinati all'esercizio del diritto/dovere di informaree del suo reciproco che è il diritto dell'opinione pubblicadi essere informata.

Sul piano operativo, il modello di notificazionedovrebbe essere strutturato per categorie di dati con indicazionisufficientemente ampie e comprensive per non costringere le impresea ripetere più volte lo stesso adempimento. Adempimentoche, oltretutto, dovendo essere effettuato preventivamente renderebbeimpossibile l'attività di informazione che, soprattutto,per quanto riguarda i giornali quotidiani e le agenzie di stampa,deve essere immediata e tempestiva, pena la perdita di utilitàe di valore dell'informazione stessa. Anche l'indicazione degliambiti di diffusione e di comunicazione dei dati dovrebbe esseresoddisfatta in termini sintetici e non analitici, dal momentoche la divulgazione dei dati attiene alla natura ed agli scopiistituzionali propri delle aziende editrici di giornali. Si trattadi un insieme di aspetti relativi alle modalità ed ai contenutidella notificazione che è auspicabile spera verranno comunqueprecisati non solo in sede regolamentare, ma anche piùanaliticamente disciplinati nell'ambito della delega che la leggen.676/96 ha conferito al Governo.

Poiché l'obbligo di notificazione scatteràa partire dall'8 agosto 1997 (art. 33, comma 3), per il momentola Federazione non ha predisposto alcun modello di notificazione.Va inoltre sottolineato che per i trattamenti iniziati prima dell'8maggio, data di entrata in vigore della legge, o nei novanta giornisuccessivi, la legge prevede (art. 41, comma 2) che la notificazionedebba essere fatta entro i sei mesi successivi alla data di pubblicazionedel Decreto di cui all'art. 33, comma 1.



(1) Giovanni Buttarelli, "Banche dati e tuteladella riservatezza", Giuffré editore, 1997





ALLEGATI

1. Ipotesi di incaricodi responsabile di operazioni di trattamento di dati personaliex art. 8 legge n. 675/96;

2. Ipotesi di comunicazionedella condizione di incaricato ai dipendenti;

3. Ipotesi di informazionie di richiesta di consenso ex artt. 10,11 e 12 della legge n.675/96;

4. Fac simile di comunicazioneai dipendenti;

5. Ipotesi di clausoladi informazione/consenso da inserire in contratti o proposte oaccettazioni contrattuali;

6. Fac simile di comunicazionedi rispetto della legge n. 675/96;

7. Richiesta di autorizzazioneper il trattamento di dati sensibili ai sensi dell'art. 22 dellalegge n. 675/96 (da utilizzare a partire dal 30/11/1997);

8. Ipotesi di richiestadi autorizzazione al trattamento di dati sensibili nell'eserciziodella professione di giornalista (da tenere in sospeso);

9. Informativa a personedi cui si conoscono i dati personali;

10. Informativa a personedi cui non si conoscono i dati personali;

11. Decreto legislativon. 123 del 9 maggio 1997.

________________________


ALLEGATO. N.1

IPOTESI DI INCARICO DI RESPONSABILE DIOPERAZIONI DI TRATTAMENTO DI DATI PERSONALI EX ART.8 LEGGE 675/96(INFRA: "LEGGE")

Ad integrazione del contratto di servizi............conVoi stipulato il............considerato che tra le nostre prestazionicontrattuali rientrano anche operazioni di trattamento di datipersonali ai sensi della lettera c) art. 1 della Legge, Vi proponiamodi affidarci il seguente incarico:

1) La Vostra Società (infra: "Titolare")designa la nostra società (infra "Responsabile), aisensi dell'art. 8 della Legge, ad effettuare operazioni di trattamentodi dati personali nel rispetto delle prescrizioni della leggee delle modalità precisate nella presente e nell'allegatocapitolato tecnico che ne forma parte integrante.

2) In particolare il Titolare affida al responsabilele seguenti operazioni di trattamento informativo di dati personali:

- raccolta

- elaborazione/riordino...........

- memorizzazione..............durata:

- comunicazione mediante accesso consentito a.............oppuretrasmissione a............

3) Il Responsabile effettua le operazioni di trattamentoad esso affidate nel rispetto della legge e, in particolare, dellenorme relative alle informazioni ed al consenso degli interessati,all'autorizzazione del Garante ed alle misure di sicurezza. IlResponsabile deve fare in modo da ridurre al minimo, mediantel'adozione di idonee e preventive misure di sicurezza tra cuiquelle specificate in allegato, i rischi di distruzione o perdita,anche accidentale, dei dati stessi, di accesso non autorizzatoo di trattamento non consentito o non conforme alle finalitàdella raccolta. Le misure di sicurezza descritte in allegato sarannomodificate, a cura del Responsabile, mediante l'applicazione dimisure eventualmente prescritte nell'emanando regolamento delGarante della riservatezza e/o di eventuali perfezionamenti tecnici,man mano disponibili nel settore informatico.

Il Responsabile trasmetterà tempestivamenteal Titolare la documentazione tecnica delle modifiche apportate.

4) Il titolare dichiara e garantisce che il trattamentoè affidato al Responsabile per le seguenti finalità:

- tenuta della contabilità ai fini civilisticie fiscali;

- conservazione delle scritture contabili.

- altre da specificare (selezione del personale,svolgimento e adempimento rapporti di lavoro)

Il Titolare dichiara inoltre che i dati da lui trasmessi:

- sono esatti e, se necessario, aggiornati;

- sono pertinenti, completi e non eccedenti rispettoalle finalità per le quali sono raccolti o successivamentetrattati.

5) Il Responsabile provvede a fornire ad ogni interessatodal trattamento o delegato di questi le informazioni previstenell'art. 13 della Legge, con le modalità ed i tempi previstiin allegato, e ad avvisare immediatamente il Titolare anche diogni richiesta, ordine o attività di controllo da partedel Garante, o dall'Autorità Giudiziaria ai sensi degliartt. 29 e 31 Legge.

Il Responsabile dovrà eseguire gli ordinidel Garante o dell'Autorità Giudiziaria, salvo che il Titolaregli abbia tempestivamente comunicato la propria volontàdi promuovere opposizione nelle forme di rito.

6) Il Titolare autorizza il Responsabile ad affidaresotto la propria responsabilità l'esecuzione di operazionidi trattamento informatico a primaria società del settoreche per esperienza, capacità ed affidabilità forniscaidonea garanzia del pieno rispetto della legge, con particolareriguardo alla sicurezza. E' in ogni caso esclusa qualsiasi utilizzazionee/o semplice visualizzazione dei dati da parte di tale affidatario:pertanto il Responsabile dovrà convenire con esso adeguatemisure tecniche per la protezione dei dati.

7) Il Titolare ed il Responsabile effettueranno alGarante la notifica prevista dall'art. 7 della Legge.

8) Le comunicazioni tra le parti ai fini del presenteincarico dovranno avvenire:

- per il Titolare al delegato......................................................................

..........................................................................................................

- per il Responsabile al delegato...............................................................

..........................................................................................................

Le parti dovranno comunicarsi eventuali sostituzionidel loro delegato.

9) Il Responsabile dovrà consentire al Titolare,dandogli piena collaborazione, periodiche verifiche circa l'adeguatezzadelle misure di sicurezza adottate ed il rispetto della Legge.

Ove d'accordo, vogliate trascrivere integralmenteil testo della presente su Vostra carta intestata e restituircelounitamente all'allegato, sottoscritto in ogni pagina per confermaed accettazione.

I migliori saluti.

________________________________

ALLEGATO N. 2

IPOTESI DI COMUNICAZIONE DELLA CONDIZIONEDI INCARICATO AI DIPENDENTI

Egregio Signor

......................

Le comunichiamo che l'art. 8, comma 5 della legge31 dicembre 1996, n. 675 sulla tutela delle persone e di altrisoggetti rispetto al trattamento dei dati personali evidenziache il personale che effettua il trattamento di dati personaliper conto della Società datrice di lavoro assume il ruolodi incaricato del trattamento.

Pertanto, nello svolgimento delle Sue mansioni di...........................Ellapotrà eseguire il trattamento dei dati personali ai qualiha accesso, ivi compresa la comunicazione, inerenti alle attivitàdel Suo ufficio/ente.

Con l'occasione Le ricordiamo che Ella dovràusare la massima riservatezza e discrezione nella tenuta dei datidi cui sopra e nella conseguente loro protezione, in armonia congli obblighi che Le derivano, in quanto prestatore di lavoro subordinato,dagli artt. 2104 e 2105 c.c.

La preghiamo di volerci restituire la presente comunicazionefirmata per accettazione.

Distinti saluti.

Data....................

________________________________________

ALLEGATO N.3

IPOTESI DI INFORMAZIONI E RICHIESTA DICONSENSO AI SENSI E PER GLI EFFETTI DEGLI ARTT. 10, 11 E 12 DELLALEGGE N. 675/96.

1. La informiamo che i dati personali Suoi e deiSuoi familiari che Le vengono richiesti sono necessari per l'elaborazionedella retribuzione e per ogni adempimento di legge e di contrattonei confronti degli istituti previdenziali e assistenziali, ancheintegrativi, e dell'amministrazione finanziaria.

2. La nostra Società ha nominato responsabiledel trattamento di tali dati ai fini dell'elaborazione delle retribuzionie la preparazione dei dati necessari per i suddetti adempimenti..................................

La stessa Società è anche incaricatadella conservazione degli stati di servizio dei dipendenti utileper il riconoscimento dell' anzianità aziendale e per ilrilascio di attestazioni che potrebbero essere richieste anchedopo la cessazione del rapporto di lavoro.

3. Le precisiamo ancora che i Suoi dati, previo Suoconsenso, saranno comunicati a terzi per adempimenti di leggeo da contratto.

Alleghiamo al presente documento copia dell' art.13 della legge 31 dicembre 1996, n.675 che stabilisce i suoi dirittiin relazione al trattamento dei dati personali.

La preghiamo pertanto di datare e firmare copia dellapresente come ricevuta delle informazioni sopra esposte e deltesto dell'art. 13 della legge n. 675/1996.

data......................... Firma Il Titolare(l)

(l) Indicare la qualifica in ambito aziendale e laprocura eventualmente conferita.

* * *

DICHIARAZIONE DI CONSENSO PER IL TRATTAMENTODI DATI PERSONALI AI SENSI ED AGLI EFFETTI DELLA LEGGE 31 DICEMBRE1996, N. 675.

Io sottoscritto...............................esprimoil mio consenso al trattamento dei miei dati personali, inclusiquelli di cui all'art. 22 della legge n. 675/1996, cosìcome sopra indicato ed in particolare alle comunicazioni ed alladiffusione degli stessi nei termini e per le finalità indicatiai punti 2 (secondo periodo) e 3.

_________________________________

ALLEGATO N. 4

Oltre alle informazioni rese al momento della raccoltadi cui all' art. 10 della legge n.675/1996 ed alla richiesta diconsenso per il trattamento di dati sensibili (ad esempio, l'iscrizioneal sindacato per il versamento dei relativi contributi o la presentazionedi certificati medici per periodi di malattia), è consigliabileuna comunicazione che autorizzi tutti i dipendenti all'accessodei dati personali riguardanti i soggetti con i quali l'aziendaentra in contatto, indicando le norme operative e le istruzioninell'uso dei dati personali. I dipendenti dovranno restituirefirmata tale comunicazione che permette loro di accedere ai datipersonali detenuti dall'azienda necessari per lo svolgimento deicompiti loro affidati, evitando che la lettura di dati personalida parte dei dipendenti stessi venga a configurare una comunicazionea terzi. In pari tempo, tale comunicazione serve a separare formalmentela responsabilità dell'azienda da quella dei singoli dipendenti,per comportamenti difformi rispetto alle norme operative ed alleistruzioni ricevute.

FAC SIMILE DI COMUNICAZIONE AI DIPENDENTI

Oggetto: Norme operative e istruzioni aidipendenti sul trattamento dei dati personali ai sensi della L.31/12/96,n. 675

Il dipendente che firma la presente è autorizzatoesplicitamente dal Titolare e dal Responsabile per i dati personalia trattare, per fini di lavoro e all'interno delle proprie mansioni,dati personali inerenti le persone con le quali l'azienda èentrata in contatto.

I dati in oggetto devono essere trattati esclusivamenteper i fini aziendali e secondo le istruzioni impartite dai responsabili:è vietata ogni altra forma di trattamento.

I documenti relativi a dati personali devono essereconservati in archivi chiusi: gli accessi tramite computer devonoessere protetti da password: è fatto divieto di renderepubbliche o comunicare ad altri le proprie password personalidi accesso.

Gli eventuali dati sensibili dovranno essere conservatiin buste chiuse o in armadi chiusi.

La trasmissione dei dati personali, all'interno dell'aziendao anche verso terzi all'esterno, incaricati di trattare i datideve essere fatta salvaguardando la riservatezza dei dati e comunquesecondo le istruzioni impartite dai responsabili.

In caso di inadempienza delle norme operative e delleistruzioni suddette, il dipendente resta responsabile in propriodelle conseguenze civili e penali previste per le violazioni agliobblighi della legge 675/1996.

Firma del dipendente per presa visione...............................

_______________________________

ALLEGATO N. 5

IPOTESI DI CLAUSOLA DI INFORMAZIONE/CONSENSOEX L.675/1996 DA INSERIRE IN CONTRATTI O PROPOSTE O ACCETTAZIONICONTRATTUALI:

art......... Consenso ex art. 1l L. 675/1996

Il sottoscritto con la firma apposta sulla presentemanifesta il proprio consenso, ai sensi dell'art. 11 L.675/1996,a che i dati che lo riguardano, sopra indicati, siano oggettodi tutte le operazioni di trattamento elencate nella lettera d)art. 1 legge citata, e contemporaneamente, prende atto che;

a) i dati forniti sono necessari per ogni adempimentodi contratto e delle norme di legge, civilistiche e fiscali;

b) il rifiuto a fornirli comporterebbe la mancatastipulazione del contratto da parte della Società;

c) il trattamento dei dati, oltre che per le finalitàsopra dette, è effettuato anche per finalità d'informazionecommerciale o di invio di materiale pubblicitario, ovvero peril compimento di ricerche di mercato o di comunicazione commercialeinterattiva;

d) la comunicazione dei dati potrà esserefatta......................ed anche ad altre imprese, per le finalitàsopra indicate;

e) il sottoscritto può in ogni momento esercitarei diritti di cui all'art 13 legge citata, tra cui il diritto diopporsi al trattamento dei dati che lo riguardano ai fini d'informazionecommerciale o d'invio di materiale pubblicitario o altri finiprevisti alla lettera c);

f) responsabile del trattamento è.......................

Titolare del trattamento è............................

Il trattamento è effettuato anche con mezziinformatici (1) ed i dati sono conservatipresso....................

(1) indicare i vari sistemi di elaborazione ai qualii dati vengono sottoposti

_________________________________

ALLEGATO N. 6

Nei rapporti di subfornitura o di servizio con soggettiesterni (studi professionali o società di elaborazionedati) può essere utile, qualora a tali soggetti non vengaconferito l'incarico di responsabile del trattamento, ricorreread una comunicazione di rispetto, da inviare per raccomandata,che consenta a tali soggetti l'accesso ai dati personali detenutidall'impresa e, in pari tempo, separare le proprie responsabilitàda quelle dei soggetti esterni per le conseguenze civili e penaliderivanti da comportamenti difformi rispetto a quanto previstodalla legge n. 675/1996

FAC-SIMILE DI COMUNICAZIONE

Raccomandata

Oggetto: Comunicazione di rispetto Legge 675/96

Il destinatario della presente è autorizzatoa svolgere operazioni di trattamento di dati personali per contodel firmatario sotto indicato è tenuto a rispettare edosservare tutte le norme della Legge 675/96, nonchè ognialtra istruzione impartita in calce alla presente o in successivecomunicazioni da parte del firmatario della presente.

In caso di inadempimento, il destinatario della presentecomunicazione sarà considerato responsabile nei confrontidel firmatario, limitatamente alle operazioni effettuate senzala diligenza dovuta in esecuzione delle istruzioni ricevute, fermein ogni caso le proprie responsabilità civili e penaliin caso di abuso dei dati personali di cui sia venuto a conoscenzain esecuzione del rapporto instaurato con il firmatario.

In caso il soggetto si avvalga di suoi incaricatio collaboratori, egli si obbliga a renderli edotti delle suddettenorme operative generali, fermo restando che in ogni caso essisi intendono operare sotto la sua diretta ed esclusiva responsabilità.

Tra le norme operative specifiche da osservare sisegnalano in particolare:........................... (1)

Il titolare

..............................

(1) Un esempio di norma operativa specifica: "Tuttele comunicazioni di documenti cartacei e/o dischetti magneticicontenenti dati personali tra il destinatario e il firmatariodovranno essere effettuate in busta chiusa e con l'indicazione"riservato" sul fronte della busta stessa".

______________________________

ALLEGATO N. 7

Al Garante per la tutela dellepersone e di altri soggetti rispetto al trattamentodi dati personali

presso..............................

via...............................

Roma

Richiesta di autorizzazione per il trattamentodi dati sensibili ai sensi dell'art. 22della Legge 31 dicembre 1996, n. 675.

La Società editrice.............................consede in.................................. ai fini del presenteatto rappresentata da.......................in qualitàdi.............................,

PREMESSO CHE
  • la scrivente attua il trattamento di tutti idati personali relativi ai propri dipendenti, loro coniugi e figlied a persone che propongono di essere assunte dalla medesima,necessari per la selezione del personale, per lo svolgimento el'adempimento dei rapporti di lavoro e dei relativi oneri fiscalie previdenziali secondo le prescrizioni delle leggi in materiae dei CCNL ed integrativi aziendali;
  • il trattamento di cui sopra riguarda quindi anchedati definiti "sensibili" dagli artt. 22 e 24 dellaLegge 675 cit., quale l'iscrizione a sindacati, ai fini dell'effettuazionedelle trattenute e del versamento al sindacato indicato dal dipendente,le certificazioni mediche ai fini della verifica dell'attitudinea determinati lavori, della giustificazione delle assenze, deitrattamenti assicurativi e previdenziali obbligatori e contrattuali,degli infortuni sul lavoro e dell'avviamento al lavoro di inabili,l'appartenenza ad organizzazioni religiose, ai fini dei permessiper festività;
  • talvolta è necessaria anche la comunicazionedi dati sensibili a terzi, quali l'INPS, l'INAIL, societàdi assicurazione, fondi di previdenza aziendale, per ottemperarea norme di legge o di contratto;
  • il trattamento è effettuato prevalentementecon sistemi informatici, in ogni caso utilizzando e applicandole seguenti misure di sicurezza..........................

Tutto ciò premesso, anche a nome delle propriemandanti titolari del trattamento, l'istante

CHIEDE

che il Garante autorizzi ex art. 22 Legge 675/1996il trattamento di dati sensibili sopra indicati, per le finalitàesposte.

Si confida nella sollecita concessione dell'autorizzazionerichiesta, in quanto concernente trattamenti necessari per lanormale, corretta e legittima instaurazione e svolgimento deirapporti di lavoro.

L'eventuale sospensione di tali trattamenti potrebbetra l'altro danneggiare i dipendenti interessati e bloccare l'attivitàdi impresa.

_________________________________

ALLEGATO N. 8

IPOTESI DI RICHIESTA DI AUTORIZZAZIONEAL TRATTAMENTO DI DATI SENSIBILI NELL'ESERCIZIO DELLA PROFESSIONEGIORNALISTICA

Il sottoscritto.........................,direttore responsabile del quotidiano.................., editodalla Società editrice.............................................con sede in......................., in qualità di titolaredel trattamento più oltre descritto

premesso che

lo scrivente attua il trattamento di dati personalicontenuti in testi ed immagini provenienti dall'esercizio dellaprofessione di giornalista, per il perseguimento con pluralitàdi mezzi delle finalità informative di cui all'art. 21della Costituzione;

il trattamento di cui sopra riguarda anche dati definitisensibili dalla legge 675/1996, e in particolare, dati di cuiall'art. 25 della stessa, inclusi quelli idonei a rivelare lostato di salute e la vita sessuale resi noti dagli stessi interessatio da pubbliche autorità anche straniere o in occasionedi eventi di risonanza nazionale o internazionale;

il trattamento è effettuato prevalentementecon sistemi informatici, in ogni caso utilizzando e applicandoopportune misure di sicurezza;

chiede

che il Garante autorizzi ex art. 22 legge 675/1996il trattamento sopra indicato, per le finalità esposte.

Si confida nella sollecita concessione dell'autorizzazionerichiesta in quanto concerne trattamenti necessari ed indispensabiliper il legittimo esercizio delle attività istituzionalidel quotidiano............................

L 'eventuale sospensione del suddetto trattamentoimpedirebbe l'esercizio stesso dell'attività giornalistica.

La presente richiesta viene presentata nonostantesi ritenga esorbitante rispetto a quanto già previsto dalleleggi vigenti in materia di informazione giornalistica nonchéai sensi del 20 commadell'art. 25 della legge n. 675/1996.

Il titolare

_______________________________

ALLEGATO N. 9

INFORMATIVA A PERSONE DI CUI SI CONOSCONOI DATI

I suoi dati fanno parte dell'archivio elettronicodella Società Editrice............nel rispetto di quantostabilito dalla legge n. 675/1996 sulla tutela dei dati personali.Lei avrà l'opportunità di essere aggiornato su prodotti,iniziative e offerte della nostra Società. I suoi datinon saranno oggetto di comunicazione o diffusione a terzi. Peressi Lei potrà richiedere, in qualsiasi momento, modifiche,aggiornamento, integrazione o cancellazione, scrivendo all'attenzionedel................... (1).Solo se Lei non desiderasse ricevere comunicazioni, barri la casellasottostante

<>

(1) Indicare il nominativo del Titolare o, se designato,del Responsabile del trattamento

_______________________________

ALLEGATO N. 10

INFORMATIVA A PERSONE DI CUI NON SI CONOSCONOI DATI

Indicandoci i Suoi dati, lei avrà l'opportunitàdi essere aggiornato su prodotti, iniziative e offerte della SocietàEditrice...................Essi saranno inseriti nella banca datielettronica della Società nel rispetto di quanto stabilitodalla legge 675/1996 sulla tutela dei dati personali. I Suoi datinon saranno oggetto di comunicazione o diffusione a terzi. Peressi Lei potrà richiedere modifiche, aggiornamento, integrazioneo cancellazione, scrivendo al................................(1). Solo se Lei non desiderassericevere comunicazioni, barri la casella sottostante.

<>

(1) Indicare il nominativo del Titolare o, se designato,del Responsabile del trattamento