Garante per la protezione
    dei dati personali


Il "titolare" può non fornire l'informativa per i dati raccolti presso soggetti diversi dall'interessato, quando la stessa comporta un impiego di mezzi che il Garante dichiari essere manifestamente sproporzionati rispetto al diritto dell'interessato di conoscere le principali caratteristiche del trattamento, ovvero, quando l'informativa si rivela, sempre a giudizio di questa Autorità, "impossibile" (art. 10, comma 4 l. n. 675/1996).
Tali profili devono essere valutati in concreto, con particolare riguardo alla speciale natura delle finalità perseguite o dei dati trattati, alle complesse modalità di realizzazione dell'adempimento, all'ingente numero degli interessati, alle attività necessarie per rintracciarli, alla data di raccolta delle informazioni o alla particolare onerosità dei costi da sostenere.

Roma, 26 novembre 1998        

OGGETTO: Esonero dall'obbligo di informativa agli interessati relativamente ai dati raccolti presso terzi (art. 10, comma 4, legge n. 675/1996).

Sono pervenute a questa Autorità numerose istanze con le quali soggetti pubblici e privati hanno chiesto di essere esonerati dall'obbligo di fornire agli interessati l'informativa prevista dall'art. 10 della legge n. 675/1996.

Molte richieste riguardano dati relativi a clienti e a fornitori utilizzati da imprese, oppure i trattamenti effettuati da altri soggetti privati che curano, per conto delle imprese stesse, la registrazione e l'elaborazione di dati a fini di tenuta della contabilità, dell'adempimento di obblighi fiscali e retributivi, ecc.

Altre istanze si riferiscono invece a trattamenti svolti, in particolare, nel settore pubblico o bancario, oppure riguardano i curricula vitae inviati spontaneamente alle aziende o, ancora, i dati degli abbonati a quotidiani e periodici.

Numerose richieste non possono essere accolte, in quanto sono formulate in modo del tutto generico o risultano prive di adeguata motivazione; altre sono invece inammissibili poiché non soddisfano i parametri individuati dall'art. 10, comma 4, della legge n. 675/1996 o sono riconducibili ad ipotesi di trattamento per le quali la legge non obbliga ad informare gli interessati.

Il Garante ritiene perciò necessario fornire alcune indicazioni di carattere generale al fine di chiarire l'esatto ambito applicativo dell'art. 10 con riferimento ai casi già sottoposti al suo esame, ricordando anzitutto che la legge n. 675/1996 disciplina diversamente l'informativa resa al momento della raccolta dei dati (all'interessato o alla diversa persona che fornisce i dati: art. 10, comma 1) e l'informativa che deve essere invece fornita successivamente alla raccolta quando i dati non sono raccolti presso l'interessato (art. 10, comma 3).

1. Informativa relativa ai dati raccolti presso terzi

Relativamente a questa seconda informativa, la legge n. 675/1996 prevede che i "titolari" di un trattamento di dati personali possano chiedere al Garante di essere esonerati dall'obbligo di informare gli interessati circa l'esistenza e le principali caratteristiche del trattamento, qualora ricorrano determinate circostanze indicate tassativamente (art. 10, comma 4).

Questa opportunità riguarda solo i casi in cui i dati non sono raccolti presso l'interessato, i casi, cioè, nei quali l'interessato deve ricevere l'informativa al momento della registrazione dei dati o, al più tardi, della prima comunicazione a terzi (art. 10, comma 3, legge n. 675/1996).

Va però tenuto presente che non è necessario informare l'interessato, né chiedere l'esonero (ci si riferisce sempre e solamente al caso di dati raccolti presso terzi), quando:

1) i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;

2) il trattamento è connesso allo svolgimento delle "investigazioni difensive" in materia penale (art. 38 norme di attuazione del c.p.p.) o alla difesa di un diritto in sede giudiziaria (a meno che il trattamento si protragga per un periodo superiore a quello strettamente necessario al perseguimento di tali finalità o sia svolto per ulteriori scopi).

Qualora il trattamento rientri in una di queste due ipotesi non occorre fornire l'informativa di cui all'art. 10, comma 3, né è necessario presentare a questa Autorità una richiesta di esonero.

Le anzidette eccezioni (come pure la richiesta di esonero) non riguardano, invece, i casi in cui i dati siano forniti direttamente dall'interessato o (a prescindere dalle modalità della loro raccolta) possano essere trattati solo in presenza del consenso (consenso che può ritenersi prestato validamente solo se l'interessato ha ricevuto una previa ed idonea informativa: art. 11, comma 3, legge n. 675/1996): in entrambi i casi, la legge n. 675/1996 non prevede un esonero, né attribuisce al Garante la possibilità di sottrarre alcune notizie dall'obbligo di informativa (v. art. 10, comma 1, lettere da a) ad f)).

2. Dati raccolti prima dell'entrata in vigore della legge n. 675/1996

Il 30 novembre 1997 è scaduto il termine entro il quale i soggetti pubblici e privati dovevano informare gli interessati della raccolta di dati acquisiti presso terzi anche prima dell'entrata in vigore della legge n. 675/1996 (art. 41, comma 7-bis).

Va tuttavia evidenziato che una lettura sistematica dei commi 2 e 3 dell'art. 10 permette certamente di ritenere che anche l'informativa relativa ai dati raccolti presso terzi (come quella dovuta all'interessato ai sensi del comma 1) può essere semplificata omettendo l'indicazione degli elementi già noti all'interessato (cfr. l'art. 10, comma 3, che si riferisce all'informativa "di cui al comma 1", la quale, in base al comma 2, può non comprendere anch'essa i predetti elementi).

3. Presupposti per la richiesta di esonero dall'informativa

Per quanto riguarda i dati raccolti presso soggetti diversi dall'interessato, il "titolare" può non fornire l'informativa quando la stessa comporta un impiego di mezzi che il Garante dichiari essere manifestamente sproporzionati rispetto al diritto dell'interessato di conoscere le principali caratteristiche del trattamento, ovvero quando l'informativa si rivela, sempre a giudizio di questa Autorità, "impossibile" (art. 10, comma 4 cit.).

Tali profili devono essere valutati in concreto e a seconda dei casi, con particolare riguardo alla speciale natura delle finalità perseguite o dei dati trattati, alle complesse modalità di realizzazione dell'adempimento, all'ingente numero degli interessati, alle attività necessarie per rintracciarli, alla data di raccolta delle informazioni o alla particolare onerosità dei costi da sostenere.

In caso di richiesta al Garante, queste circostanze devono essere comprovate con precisione, indicando anche se la richiesta riguardi unicamente l'esonero oppure fornendo indicazioni utili per individuare modalità alternative di informativa diverse da quella prevista dalla legge.

Pertanto, i soggetti che intendono avvalersi del provvedimento del Garante devono fornire specifiche motivazioni e concreti elementi di riscontro in ordine all'impossibilità di fornire in tutto o in parte le informative, o alla rilevante sproporzione tra il diritto dell'interessato di essere pienamente consapevole degli aspetti più significativi del trattamento e l'irragionevole dispendio di energie richiesto invece al "titolare".

Il Garante potrà così esprimere la propria valutazione in ordine a singoli trattamenti o a soggetti titolari, oppure in riferimento a settori o tipi di trattamento; potrà "autorizzare" anche, in circostanze particolari, modalità di informazione sostitutive di quelle rivolte caso per caso a ciascun interessato.

Sarà quindi possibile per alcuni titolari del trattamento perseguire comunque, in misura ragionevole, le finalità proprie dell'informativa, attraverso forme adeguate ed equipollenti di informazione anche periodica di gruppi o categorie di interessati, i quali (quantomeno per i trattamenti che non presentano particolari rischi per la persona) potrebbero venire egualmente a conoscenza degli elementi indicati dal citato art. 10, comma 1, attraverso, ad esempio, avvisi pubblici o per pubblici proclami o annunci periodici specie sulla stampa nazionale o locale anche specializzata).

4. Richieste di esonero presentate al garante

Alla luce dei principi appena esposti, questa Autorità ritiene che larga parte delle istanze sinora pervenute in tema di esonero dall'informativa non possano essere accolte o debbano essere dichiarate inammissibili. In particolare:

a) risultano inammissibili le istanze presentate da imprese ed enti che hanno chiesto di essere esonerati dall'obbligo dell'informativa per il trattamento dei dati inerenti ai propri clienti e fornitori. Questi trattamenti riguardano prevalentemente dati raccolti presso gli interessati, i quali, al momento della raccolta, devono ricevere l'informativa in ogni caso (anche oralmente e con formule concise oltreché comprensibili, depurando eventualmente l'informativa degli elementi già noti all'interessato).

Analoga inammissibilità si riscontra per le istanze che riguardano dati raccolti presso terzi e trattati in base ad un obbligo normativo o alfine di difendere un diritto in sede giudiziaria (ipotesi per le quali, come si è detto, l'art. 10, comma 4, esclude l'obbligo dell'informativa);

b) devono essere giudicate parimenti inammissibili (poiché si applicano i commi n. 1 e 2 dell'art. 10, anziché i commi 3 e 4) le istanze concernenti:

- i curricula vitae inviati spontaneamente ad aziende da coloro che cercano un inserimento professionale. Anche in questi casi, i dati contenuti nei curricula sono acquisiti direttamente dagli interessati e le società che intendono conservarli devono comunicare a questi ultimi alcune informazioni essenziali sulla successiva registrazione ed utilizzazione dei dati, a meno che gli interessati medesimi ne siano già a conoscenza (art. 10, comma 2);

- le banche dati relativi agli abbonati a quotidiani e periodici, in quanto tali trattamenti riguardano alcune informazioni personali raccolte dagli editori presso gli interessati (cs.: nominativo, indirizzo, riferimenti bancari per i pagamenti);

c) il Garante ritiene poi che non possano essere accolte le richieste di esonero formulate da centri elaborazione dati gestiti da società di consulenza informatica, professionisti, associazioni ed altri organismi che elaborano per conto terzi dati inerenti a clienti, fornitori e dipendenti di terzi, a fini di gestione amministrativa e contabile. In generale, queste richieste rientrano nell'ambito di applicazione dell'art. 10, comma 4, in quanto il centro elaborazione dati acquisisce le informazioni non dai diretti interessati, ma dalla società che gli ha affidato il trattamento dei dati dei propri clienti, fornitori e dipendenti. Tuttavia, in relazione a queste fattispecie, prima di dare impulso ai meccanismi previsti dal citato art. 10, comma 4, occorre verificare attentamente se l'originario "titolare del trattamento", al momento della raccolta dei dati, abbia fornito già agli interessati un'informativa adeguata anche per quanto riguarda i trattamenti svolti dal centro elaborazione dati.

Il "titolare" deve infatti informare l'interessato circa il fatto che i dati possono essere comunicati ad un terzo preposto in conformità alla legge n. 675, ad elaborazioni per l'adempimento degli obblighi contabili, fiscali, retributivi, previdenziali e assistenziali gravanti sulla società medesima.

Con tale informativa, il "titolare" deve specificare se il terzo svolge le predette elaborazioni nella veste di "responsabile del trattamento" (art. 8 legge n. 675/1996) oppure come autonomo titolare che effettua un distinto trattamento di dati. Nel primo caso, una volta designato il centro elaborazione dati come "responsabile" (art. 10, comma 1, lett. f)), viene meno la necessità di dover successivamente comunicare all'interessato ulteriori informazioni per il trattamento svolto dalla predetta struttura.

Nel secondo caso, invece, l'originario "titolare del trattamento" che ha affidato all'esterno il servizio di elaborazione dati, deve fornire agli interessati una precisa indicazione sull'ambito di comunicazione dei dati e sui soggetti destinatari (art. 10, comma 1, lett. d)). In tale sede, il "titolare" potrebbe specificare opportunamente, con formule anche sintetiche, ma chiaramente comprensibili, che il soggetto incaricato di effettuare determinate elaborazioni effettua uno stabile trattamento di dati, strettamente connesso a quello principale svolto dal soggetto che ha raccolto originariamente i dati (come nel caso del "responsabile", sarà indispensabile indicare nominativamente la struttura incaricata di elaborare i dati, specie quando, per questo trattamento, debba essere richiesto il consenso).

Nell'ipotesi in cui non sia possibile o risulti estremamente complicato procedere nei modi suesposti (per specifiche ragioni che dovranno essere ben evidenziate a questa Autorità), il c.e.d. dovrebbe fornire agli interessati una propria e distinta informativa (al momento della registrazione o della prima comunicazione dei dati. art. 10, comma 3, legge n. 675/1996) o valutare la possibilità di attivare la procedura prevista dal citato art. 10, comma 4, tenendo presente che tale disposizione fa salvo il caso dei trattamenti effettuati in base ad un obbligo normativo;

d) analoghe considerazioni possono essere formulate per la circolazione in ambito bancario dei dati strettamente necessari per eseguire specifiche prestazioni richieste dalla clientela (transazione di un assegno, bonifico bancario, ecc.). Nel normale svolgimento dell'attività bancaria e finanziaria, gli istituti di credito si scambiano continuamente informazioni personali su richiesta degli stessi interessati; alle operazioni di comunicazione corrisponde di regola anche una connessa operazione di registrazione dei dati trasmessi. In questi casi, un'esauriente informativa che un istituto di credito può fornire al proprio cliente può arrivare a comprendere i trattamenti temporanei dei dati effettuati da altre banche e strettamente necessari per l'esecuzione dei servizi richiesti dall'interessato, eliminando, così, un'inutile duplicazione di informative

e) per quanto concerne infine le richieste provenienti da soggetti pubblici, occorre rilevare che la maggior parte dei casi sottoposti al Garante riguarda dati trattati in base ad un obbligo normativo.

IL PRESIDENTE