Garante per la protezione
    dei dati personali


La designazione del responsabile del trattamento non è di per sé obbligatoria, ma diviene una soluzione in qualche modo obbligata, quando una parte sia pure strumentale dei trattamenti necessari per perseguire le finalità del titolare del trattamento è curata, con una certa autonomia, da un soggetto esterno.

Roma, lì 19 dicembre 1998        

Poste Italiane S.p.a.        
c. a. dott. Michele Giardino        
Viale Europa, 19        
00144 ROMA        

OGGETTO: Applicazione della legge 675/1996 al servizio POSTEL.

Codesta Società ha chiesto alcune indicazioni in ordine agli adempimenti previsti dalla legge n. 675/1996 per il servizio di posta elettronica POSTEL.

Dalla descrizione del servizio pervenuta e dai successivi chiarimenti forniti non emergono particolari problematiche applicative.

Il servizio è disciplinato dalla legge n. 675/1996 sebbene i dati personali forniti dagli abbonati al servizio siano trattati temporaneamente e con uso di tecniche di cifratura.

Le questioni da esaminare appaiono quelle tipiche delle imprese che svolgono attività anche massive di trattamento di dati strumentali ad altre attività "principali" (es.: imbustamento, elaborazione dati, recapito). In situazioni come queste, i compiti strumentali sono di regola svolti da una società o da altro organismo "esterno" responsabile del trattamento, designato dall'impresa che svolge l'attività principale con un atto scritto che descrive analiticamente i compiti affidati (art. 8, comma 4, legge n. 675/1996).

Già in occasione di un parere reso il 18 dicembre 1997 all'ISVAP il Garante aveva confermato la possibilità di designare come "responsabile" del trattamento una società esterna come l'Elsag S.p.a. per ciò che riguarda le operazioni di stampa, imbustamento e spedizione della corrispondenza.

Questa conclusione mantiene validità in riferimento alle diverse funzioni da voi descritte relativamente all'attività delle Poste italiane S.p.a., della Elsag S.p.a. e di eventuali altre società che dovessero curare in futuro le varie attività del servizio di posta elettronica.

Dalla documentazione da voi fornita è emerso infatti che:

a) il servizio di posta elettronica è regolato dai dd.mm. 24 giugno 1987, n. 333 (istituzione del servizio pubblico di posta elettronica), 25 giugno 1987, n. 334 (autorizzazione alla fase sperimentale del servizio) e 29 maggio 1988, n. 269 (autorizzazione al normale esercizio del servizio pubblico di posta elettronica) ed è strutturato in due settori operativi (centro di gestione e centri di stampa). In particolare, il servizio POSTEL è articolato sul centro di gestione centrale di Roma, su quattro centri di elaborazione della corrispondenza massiva (ECOMAS) e su ventisette centri di stampa. Per la gestione del complesso sistema e per il relativo supporto tecnico, il personale delle Poste Italiane S.p.a. è poi integrato (e in alcune fasi sostituito) da dipendenti della Elsag Bailey S.p.a.;

b) gli abbonati al servizio, sulla base del contratto stipulato con Poste Italiane Spa, possono inoltrare la loro corrispondenza mediante consegna al centro di gestione di Roma o ai centri stampa di supporti magnetici recanti i file di corrispondenza, o via modem con linea commutata oppure attraverso casella postale elettronica dell'abbonato;

c) i dati forniti dagli utenti sono trattati con una tecnica di cifratura attivata nel corso delle fasi di trasmissione e di memorizzazione interne al sistema o, su richiesta dell'abbonato, fin dal momento della generazione del testo da parte dell'utente. Tale forma di protezione permane fino alla fase che precede la stampa e l'imbustamento dei messaggi;

d) il contatto fra gli operatori del servizio e i dati in "chiaro" avverrebbe, essenzialmente, nell'ultima fase della procedura, quando, terminata la riproduzione automatizzata del testo, il messaggio scritto acquista materialità unitamente alla predisposizione della busta e all'apposizione sulla stessa dell'indirizzo del destinatario. Il funzionamento del sistema prevederebbe poi un meccanismo di conservazione e di rapida distruzione dei dati inviati. In caso di utilizzazione di supporti magnetici, i dati verrebbero infatti riconsegnati ai clienti una volta completate le operazioni di stampa e di imbustamento, mentre in caso di trasmissione per via telematica terminata la predisposizione delle lettere - i file contenenti i dati sarebbero cancellati autonomamente senza lasciare traccia negli archivi elettronici della società che gestisce il servizio.

Da questa sintetica ricostruzione, l'utilizzatore-abbonato al servizio POSTEL si configura come il "titolare" del trattamento, al quale spettano, quindi, i poteri e le responsabilità concernenti la trattazione dei dati personali contenuti nelle comunicazioni.

Ciascun organismo - Poste Italiane S.p.a., Elsag Bailey S.p.a. - che opera nella c.d. posta elettronica ibrida epistolare (p.e.i.e.), può svolgere invece il ruolo del "responsabile" del trattamento; con atto scritto può, cioè, essere designato a sovraintendere ai trattamenti connessi alla ricezione dei messaggi inviati dal titolare, alla loro conversione su supporto cartaceo ed al successivo imbustamento, singolarmente o assieme ad altre imprese anch'esse "responsabili" del trattamento, anche mediante suddivisione di compiti (art. 8, comma 4).

La designazione di tali soggetti come responsabili semplifica la loro attività sotto il profilo degli adempimenti previsti dalla legge n. 675/1996; rende però necessario indicare tutti i soggetti stessi nell'informativa resa dal titolare del trattamento agli interessati, nonché, se dovuta, nella notificazione (artt. 7 e 10 legge n. 675/1996).E' poi necessario individuare per iscritto le persone fisiche incaricate del trattamento presso i soggetti medesimi (artt. 8, comma 5 e 19).

Peraltro, la designazione dell'operatore di p.e.i.e. come "responsabile" potrebbe essere effettuata nell'ambito del contratto di abbonamento sottoscritto da ogni titolare-utilizzatore di tale servizio. In tale ambito potrebbe essere altresì inserita la puntuale descrizione dei trattamenti e delle attività specificamente rimessi alla competenza ed alla responsabilità dell'operatore di posta elettronica.

La designazione del/i responsabile/i del trattamento non è di per sé obbligatoria, ma diviene una soluzione in qualche modo obbligata quando una parte sia pure strumentale dei trattamenti necessari per perseguire le finalità del titolare del trattamento è curata, con una certa autonomia, da un soggetto esterno.

Qualora si ritenga di dover pervenire a diverse conclusioni (per ragioni organizzative, oppure in ragione della impossibilità di caratterizzare il rapporto abbonato-gestore p.e.i.e. alla stregua della peculiare relazione che intercorre tra il titolare e il responsabile del trattamento), non vi sarebbe altra soluzione che considerare i gestori p.e.i.e. come autonomi titolari di trattamento.

Ciò comporterebbe da parte dei gestori la necessità di provvedere autonomamente agli adempimenti relativi, in particolare, all'informativa ai soggetti cui si riferiscono i dati e alloro consenso (considerata la difficoltà pratica di procedere a questi stessi adempimenti unitamente ai singoli ed innumerevoli abbonati al servizio), richiedendo peraltro il consenso scritto per gli eventuali dati "sensibili" contenuti nei messaggi (v. art. 22, comma 1, legge n. 675/1996) nonché un'apposita e preventiva autorizzazione del Garante (l'autorizzazione generale n. 5/1998 si applica infatti alle sole attività di elaborazione dati per conto terzi effettuate in materia di lavoro ovvero a fini contabili, retributivi, previdenziali, assistenziali e fiscali).

Il Garante rimane comunque a disposizione per approfondire con Poste Italiane S.p.a. e con gli eventuali altri gestori interessati le problematiche applicative scaturenti dal presente provvedimento.

IL PRESIDENTE