Garante per la protezione
    dei dati personali


L'importante quesito posto dalleF.S. S.p.A. riguarda la concreta individuazione della figura deltitolare del trattamento. Il Garante ha chiarito che se il trattamentoè effettuato nell'ambito di una persona giuridica di unapubblica amministrazione o di un altro organismo, il titolareè l'entità nel suo complesso anziché unao più persone fisiche.

Roma, 9 dicembre 1997                

Ferrovie dello Stato                
Società di trasporti e servizi per azioni                
Direzione legale                
Pzza della Croce Rossa, 1                
Roma                 

OGGETTO: Attuazione della legge n.675/1996 in ambito FS S.p.A.. Individuazione del «titolaredel trattamento».

La FS S.p.A. ha chiesto di conoscereil parere di questa Autorità in ordine all'applicazionedella disciplina in materia di protezione dei dati personali,con particolare riferimento alla possibilità di individuareil «titolare del trattamento» tra le persone fisicheche ricoprono incarichi di vertice o che coordinano i diversisettori dell'Azienda (amministratore delegato, direttori generalie responsabili di area).

Secondo la legge n. 675/1996, il «titolare»è la persona fisica o giuridica, la pubblica amministrazionee qualsiasi altro ente, associazione od organismo cui competonole scelte di fondo sulle finalità e sulle modalitàdel trattamento dei dati, anche per ciò che riguarda lasicurezza.

Il riferimento alla «persona fisica», checompare nella definizione del «titolare» (art. 1 legge675/1996), non riguarda coloro che amministrano o rappresentanola persona giuridica, la pubblica amministrazione o l'ente, maconcerne gli individui che effettuano un trattamento di dati atitolo personale (ad esempio, il libero professionista, il piccoloimprenditore), e che assumono individualmente la piena responsabilitàdi un'attività che va distinta nettamente, anche sul pianogiuridico, da quella che singole persone fisiche possono coordinarenell'ambito e nell'interesse di una persona giuridica, di un'impresao di un ente nel quale ricoprono incarichi di rilievo.

In altre parole, qualora il trattamentosia effettuato nell'ambito di una persona giuridica, di una pubblicaamministrazione o di un altro organismo, il «titolare»è l'entità nel suo complesso (ad esempio, la società,il ministero, l'ente pubblico, l'associazione, ecc.) anzichétaluna delle persone fisiche che operano nella relativa strutturae che concorrono, in concreto, ad esprimerne la volontào che sono legittimati a manifestarla all'esterno (ad esempio,l'amministratore delegato, il ministro, il direttore generale,il presidente, il legale rappresentante, ecc.). In molti casi,tali soggetti potrebbero assumere, semmai, la qualifica di «responsabile»(v. art. 8 legge n. 675/1996).

L'orientamento suesposto, che èpacifico anche in ambito comunitario, è confermato daltenore letterale della disposizione che reca la definizione dititolare (art. 1, comma 2, lett. d), legge n. 675/1996).

Tale norma, se interpretata in manieradiversa, e cioè ritenendo che la persona giuridica, lapubblica amministrazione o l'ente possano individuare al propriointerno una o più persone fisiche titolari del trattamento,renderebbe illogica la sequenza dei soggetti indicati nella normamedesima, ove di seguito alla «persona fisica» (titolaredel trattamento) è menzionata la persona giuridica, la persona fisica, l'ente, l'associazione o l'organismo titolare,appunto, del trattamento.

Le conclusioni alle quali si èpoc'anzi pervenuti, e che sono illustrate anche nel modello dinotificazione predisposto da questa Autorità, permettonodi formulare due ulteriori osservazioni:

a) rispetto all'individuazionedel titolare, la legge n. 675/1996 presuppone un approccio assaidiverso da quello, ben noto, che deve essere seguito nell'applicazionedella legge n. 626/1994 in materia di sicurezza e igiene del lavoro;

b) la necessaria identificazionedelle Ferrovie S.p.A. quale titolare del trattamento non precludel'applicazione dei principi generali in materia di formazionedella volontà dell'ente e di delega di funzioni, nel sensoche la volontà del «titolare» (cioè, losi ripete, delle Ferrovie S.p.A.) sarà formata, anche aglieffetti della disciplina sulla protezione dei dati, tenendo contodelle ordinarie attribuzioni degli Organi previsti dall'atto costitutivoe dallo statuto. Dovrà tenersi conto, tuttavia, del particolarerapporto tra il «titolare» e il «responsabile»del trattamento, che la legge n. 675/1996 disciplina in termini imperativiin attuazione del dettato comunitario.

Quanto premesso, non preclude ulterioriconsiderazioni che riguardano le strutture di particolare complessitàcome le Ferrovie S.p.A.

La legge 675/1996 individua il titolareanche in un organismo al quale competano reali ed autonome sceltein ordine alle finalità e alle modalità del trattamento.

Nelle istruzioni allegate al modellodi notificazione, il Garante ha pertanto precisato che gli enti,le persone giuridiche e le pubbliche amministrazioni articolatein direzioni generali o in sedi centrali, decentrate o periferiche(ad esempio, servizi, dipartimenti, aree anche geografiche, ecc.),sono «titolari» nel loro complesso dei trattamenti.

Tuttavia, se la singola direzione generaleo area esercita, tramite i propri organi, un potere decisionalereale e del tutto autonomo sulle finalità e sulle modalitàdei trattamenti effettuati nel proprio ambito, non condizionatoda scelte effettuate a livello centrale o di vertice, la medesimadirezione o area potrebbe essere considerata come titolare deitrattamenti (ovvero, a seconda dei casi, come contitolare, assiemealla Società).

In conclusione, deve ritenersi chenon sia possibile individuare la titolarità del trattamentonelle persone fisiche preposte ad una direzione generale o adun'area, dovendo tale qualità essere configurata in capoalla Società (oppure alle complesse unità organizzative- direzione generale o aree anche geografiche - qualora sia possibilericonoscere a queste ultime potestà decisorie effettivee del tutto autonome in ordine al trattamento dei dati).

Resta ferma la facoltà dellaFS S.p.A. di designare alcuni soggetti (persone fisiche o giuridiche,enti od organismi) quali «responsabili» del trattamento,delineandone analiticamente e per iscritto i compiti attribuiti,e individuando al loro interno, se del caso, ulteriori livellidi responsabilità in base all'organizzazione delle divisionie degli uffici o alle tipologie di trattamenti, di archivi e didati.

Ad esempio, si potrebbero designarevari responsabili distinti in base alle funzioni amministrativeesercitate o alle aree territoriali di operatività, ovveroin ragione delle competenze informatiche, del ruolo svolto quantoalla sicurezza dei sistemi, della titolarità di ufficiper i rapporti con il pubblico, ecc., sempreché ciascunodi essi dimostri l'esperienza, la capacità e l'affidabilitàrichieste dalla legge (art. 8 L. 675/1996).

IL PRESIDENTE