Garante per la protezione
    dei dati personali

Parere sullo schema di regolamento per l'organizzazione ed il funzionamento dell'Istituto superiore delle comunicazioni e delle tecnologie dell'informazione

Roma, 28 settembre 2004
Prot.

Ministero delle comunicazioni
Ufficio legislativo
Roma

rif. n. 139437/4630/DL del 6 agosto 2004

Oggetto: schema di decreto del Presidente della Repubblica, recante regolamento concernente l'organizzazione ed il funzionamento dell'Istituto superiore delle comunicazioni e delle tecnologie dell'informazione ed il riordino della Scuola superiore di specializzazione in telecomunicazioni.

Con riferimento al parere richiesto, facendo riferimento agli aspetti di competenza di questa Autorit, si rileva preliminarmente l'esigenza di specificare, nell'articolo 1, comma 2, lettera f) o in altra disposizione dello schema, quali siano, almeno in termini generali, i trattamenti di dati personali che l'Istituto superiore delle comunicazioni potr effettuare nell'espletamento dei compiti ad esso assegnati, anche al fine di assicurarne un'adeguata conoscibilit da parte degli interessati (artt. 11, comma 1, lett. b), e 7, d. lg. n. 196/2003, recante il Codice in materia di protezione dei dati personali).

In tal senso non appare sufficiente la previsione della "gestione" da parte del  predetto Istituto di "banche dati" non altrimenti individuate se non in quanto "occorrenti per lo svolgimento dei compiti assegnati dal Ministero" (l'attuale lettera f) dell'art. 1 lascia, peraltro, il dubbio se  faccia riferimento ai compiti attribuiti al Ministero dagli articoli 15 e 55 del d. lg. n. 259 del 2003 -e poi eventualmente "delegati"- ovvero ad altri compiti specificamente "assegnati dal Ministero" all'Istituto superiore).

Inoltre, al fine di definire compiutamente le responsabilit nel trattamento dei dati personali, si ritiene utile chiarire nell'interesse dell'Istituto stesso se quest'ultimo (in relazione alla propria soggettivit giuridica e al grado di autonomia) sia il titolare del trattamento dei dati personali in relazione ai compiti assegnatigli (artt. 4, comma 1, lett. f) e 28 del d. lg. n. 196/2003), o se, invece (anche alla luce dell'assetto che il Ministero si dato rispetto al trattamento dei dati) il Ministero stesso e/o il medesimo Istituto superiore rivestano la qualit di distinti titolari di autonome banche dati o di separati profili del trattamento. Ci rileva, in particolare, in relazione ai vari adempimenti previsti dalla normativa in materia di protezione dei dati personali, ma anche, in caso di eventuale contenzioso, per consentire all'interessato di individuare la controparte ai fini dell'esercizio dei diritti di cui all'art. 7 del citato decreto legislativo n. 196 del 2003 e per invocare la tutela giurisdizionale o quella alternativa davanti al Garante.

Tutto ci potrebbe essere realizzato inserendo, preferibilmente, nello schema di decreto l'indicazione dell'organismo titolare o dei diversi organismi titolari o, in ipotesi, demandando tale indicazione ad un atto successivo eventualmente previsto dal regolamento stesso.

Allo stesso modo, ove si ritenga, invece, di dover individuare nell'Istituto superiore solo l'organismo responsabile del trattamento dei dati di cui titolare il Ministero, l'individuazione del responsabile medesimo potr essere fatta sia nel decreto, sia riservando la relativa designazione al titolare in un momento successivo (art. 29 d. lg. n. 196/2003).

La pi puntuale individuazione dei trattamenti di dati personali –eventualmente, ma non necessariamente organizzati in banche dati– dovr essere effettuata in relazione alle specifiche attivit attribuite al predetto Istituto, anche attraverso un espresso rinvio alle disposizioni che le prevedono (uno o pi commi degli articoli 15 e 55 del d. lg. n. 259/2003 o altre disposizioni eventualmente da richiamare nello schema).

Per quanto riguarda, in particolare, il trattamento dei dati personali contenuti negli elenchi degli abbonati ai servizi telefonici (art. 55 d. lg. n. 259/2003), il recente provvedimento del Garante del 15 luglio scorso ha individuato compiutamente le finalit del trattamento di tali dati e le modalit di gestione della base di dati unica della clientela in procinto di essere adottata.

Non spetta, evidentemente, al Garante fornire alcuna indicazione circa il soggetto cui attribuire la gestione di tale base di dati, tuttavia si segnala all'attenzione di codesto Ministero l'opportunit di tener conto del dialogo in corso in tale materia fra i gestori di telefonia, come pure delle possibili ricadute sul diritto alla concorrenza che potrebbe avere una disposizione normativa che individui un unico soggetto pubblico competente.

A tale riguardo, si ravvisa l'esigenza di calibrare meglio il tipo di attribuzioni che si vorrebbero conferire in tale settore all'Istituto (se di reale gestione o non, piuttosto, di vigilanza, monitoraggio, ecc.), tenendo opportunamente presenti  i compiti attribuiti in materia a  codesto Ministero –di vigilanza sulla disponibilit di tali elenchi (art. 55, comma 2, d. lg. n. 259/2003)- e,  in generale, allo stesso Istituto superiore delle comunicazioni (art. 41 l. 16 gennaio 2003, n.3).

L'Autorit rimane pienamente a disposizione per ogni eventuale chiarimento che dovesse rendersi necessario.

Il segretario generale
Giovanni Buttarelli