Garante per la protezione
    dei dati personali


L'informativa di cui all'art.10 della legge n. 675/1996 è un adempimento posto a carico di soggetti pubblici e privati, e che il titolare del trattamento deve di regola porre in essere anche quando la raccolta dei dati sia prevista da una disposizione normativa.

Roma, 21 ottobre 1998        

Ministero della difesa        
Ufficio del segretario generale        
I reparto        
Roma        

OGGETTO: Quesiti in ordine all'applicazione della legge n. 675/1996.

In relazione ai quesiti posti da codesto Ministero con le note sopra indicate, si osserva quanto segue.

1. Notificazione

Riguardo ai tempi di presentazione a questa Autorità della notificazione del trattamento dei dati personali, si conferma che:

a) per i trattamenti svolti, anche in parte, mediante mezzi elettronici o comunque automatizzati, la notificazione doveva essere effettuata entro il 31 marzo 1998. Nell'ambito di tale notificazione potevano essere ricompresi anche i trattamenti svolti senza l'ausilio di strumenti automatizzati.

b) nel periodo 1 aprile/30 giugno 1998 doveva, invece, essere effettuata, oltre alla notificazione dei trattamenti svolti senza ausilio di mezzi automatizzati, quella dei trattamenti effettuati per finalità di difesa e sicurezza dello Stato (art. 4, comma 1, lett. e) legge n. 675/1996), qualora gli stessi dati non fossero stati già inseriti nella precedente notificazione. Per questi trattamenti non sono applicabili i suddetti casi di esonero.

Va inoltre precisato che sono completamente sottratti all'obbligo di notifica i trattamenti di cui al citato articolo 4, comma 1, lettera b), ossia quelli svolti nell'ambito dei servizi di informazione e sicurezza, ovvero inerenti ai dati coperti da segreto di stato ai sensi della legge n. 801/1977.

2. Informativa e consenso

L'informativa di cui all'art.10 della legge n. 675/1996 è un adempimento posto a carico di soggetti sia pubblici sia privati e che il titolare del trattamento deve di regola porre in essere anche quando la raccolta dei dati sia prevista da una disposizione normativa. Soltanto nel caso in cui i dati siano acquisiti presso soggetti diversi dalle persone a cui si riferiscono, l'informativa potrà essere non fornita a queste ultime se i dati sono utilizzati in base ad un obbligo di legge o di regolamento (art. 10, commi 3 e 4 legge n. 675/1996).

L'Amministrazione della difesa, come tutti i soggetti pubblici, non necessita del consenso degli interessati per trattare i loro dati personali. L'art. 11 della legge n. 675/1996 riguarda solo i trattamenti svolti da parte di privati o di enti pubblici economici e non quelli effettuati da una pubblica amministrazione cui si applica invece la disciplina prevista dall'art. 27 della stessa legge.

Anche per il trattamento dei c.d. dati sensibili, l'Amministrazione non deve richiedere il consenso degli interessati né il rilascio di un'autorizzazione da parte di questa Autorità.

I soggetti pubblici possono infatti raccogliere ed utilizzare tali dati solo se il trattamento è autorizzato da "espressa disposizione di legge nella quale siano specificati i dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite" (art. 22, comma 3).

Qualora i trattamenti di dati sensibili svolti in ambito pubblico non siano discendano da normative rispondenti ai predetti requisiti, le pubbliche amministrazioni possono però avvalersi di un'apposita disposizione transitoria della legge n. 675 (art. 41, comma 5), la quale prevede che tali soggetti possano proseguire, anche in assenza di una specifica norma di legge, i trattamenti già esistenti all'entrata in vigore della legge medesima fino al 7 novembre di quest'anno, data entro la quale dovrebbe essere introdotta una specifica disciplina normativa integrativa dei principi e delle regole generali dettate dalla legge n. 675/1996.

Pertanto, questa Autorità prende atto delle richieste e dei documenti presentati da codesto Ministero considerandoli come comunicazioni effettuate ai sensi dell'art. 41, comma 5, della legge n. 675/1996.

3. Titolare, responsabile ed incaricati del trattamento

Si conferma che il titolare del trattamento è il Ministero della difesa nel suo complesso.

Nel richiamare le istruzioni fornite da questa Autorità al Ministero delle finanze (nel provvedimento che si allega), si osserva che, attesa la complessa struttura organizzativa di codesta Amministrazione, appare condivisibile lo schema di atto di nomina dei responsabili del trattamento che rimette tale compito, per il Ministero della difesa, agli organi di vertice della struttura logistico-amministrativa e di quella tecnico-operativa. Al riguardo, va però precisato che la pur legittima applicazione dei principi sulla formazione di volontà dell'amministrazione e sulla delega di funzioni, anche agli effetti della disciplina sulla protezione dei dati personali, non comporta che i predetti organi siano o possano essere considerati anch'essi come "titolari del trattamento".

Per quanto attiene al contenuto dell'atto di nomina del responsabile del trattamento si segnala la necessità di integrare tale documento con l'indicazione precisa dei compiti allo stesso affidati, in armonia con l'art. 8 della legge n. 675/1996. In particolare, andrà evidenziato che al responsabile spetta l'evasione delle domande dirette all'esercizio dei diritti di accesso, rettifica, integrazione ed eventuale cancellazione dei dati personali.

L'Amministrazione, oltre ad impartire istruzioni ai propri responsabili, dovrà altresì esercitare costantemente un'azione di vigilanza su di essi.

La designazione dei responsabili, una volta formalizzata, deve trovare collocazione nell'ambito della notificazione del trattamento. La notificazione presentata nello scorso mese di marzo dovrà pertanto essere integrata inserendo l'elenco dei responsabili nominati da codesto Ministero.

Si sottolinea, infine, la necessità di procedere all'individuazione per iscritto degli incaricati del trattamento (artt. 8, comma 5 e 19 legge n. 675/1996). All'interno dell'Amministrazione ogni dipendente deve infatti ricevere, anche attraverso un ordine di servizio od una semplice nota, (v. l'allegato parere verso il C.S.M.) l'incarico a svolgere le determinate operazioni ed elaborazioni ad esso affidate in riferimento ai dati personali a cui ha accesso.

4. Misure di sicurezza

Si rammenta che è in corso di emanazione il regolamento governativo previsto dall'art. 15, comma 2, della legge, il quale stabilisce misure minime di sicurezza che dovranno essere adottate obbligatoriamente da tutti i soggetti che gestiscono dati personali.

Restano ferme eventuali regole più restrittive previste da discipline di settore.

Sul piano della responsabilità civile, in aggiunta a tali misure minime, codesto Ministero deve seguire modalità di custodia e di controllo dei dati che riducano al minimo il rischio di perdita o di distruzione dei dati, nonché di accesso non autorizzato o di trattamento illecito (art. 15, comma 1, legge n. 675/1996).

5. Trattamenti esclusi dall'applicazione di alcune disposizioni della legge n. 675/1996.

Con riferimento al quesito relativo alla concreta individuazione dei trattamenti esclusi dall'applicazione di alcune disposizioni della legge n 675/1996 (art. 4, commi 1, lettere b) ed e), e 2) deve ritenersi non corretta l'interpretazione prospettata da codesto Ministero, essendo necessaria un'ulteriore approfondita verifica di almeno due delle tre ipotesi suggerite da quest'ultimo (rispettivamente quando la Difesa effettua un trattamento di dati "previsto dalla legge o da un regolamento" oppure "conforme ai compiti istituzionali assegnati all'unità centrale o periferica")

Vi è pertanto l'esigenza di procedere ad un'analitica ricognizione dei trattamenti che sono svolti nell'ambito di codesta Amministrazione per finalità di difesa o di sicurezza dello Stato, nonché all'individuazione degli organismi e dei dati che rientrano nei casi indicati alla lett. b) del citato art. 4. Tale ricognizione, sarà senz'altro utile al fine della redazione del decreto delegato previsto in materia dalla legge n. 675/1996 (art. 1, comma 1, lett. i)), che com'è noto stabilisce puntuali norme di rango legislativo e che potrà essere emanato entro il 31 luglio 1999.

IL PRESIDENTE