| Garante per la protezione dei dati personali Provvedimento in ordineall'applicabilità alle persone giuridiche del Codice in materia di protezionedei dati personali a seguito delle modifiche apportate dal d.l. n. 201/2011 PROVVEDIMENTO DEL 20 SETTEMBRE 2012
Registro dei provvedimenti n. 262 del 20 settembre 2012 IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssaAugusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici edella prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale; VISTOil Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003,n. 196, di seguito Codice) ed, in particolare, gli artt. 4, 5, 9 e 43 nonchél'intero titolo X, capo 1; VISTOil decreto legislativo 1° agosto 2003, n. 259, recante il Codice dellecomunicazioni elettroniche; VISTAla direttiva 95/46/CE del 24 ottobre 1995, del Parlamento europeo e delConsiglio, relativa alla tutela delle persone fisiche con riguardo altrattamento dei dati personali, nonché alla libera circolazione di tali dati; VISTOl'art. 40, secondo comma, del d.l. n. 201 del 6 dicembre 2011, convertito conlegge n. 214 del 22 dicembre 2011; VISTAla direttiva 2002/58/CE del 12 luglio 2002, del Parlamento europeo e delConsiglio, relativa al trattamento dei dati personali e alla tutela della vitaprivata nel settore delle comunicazioni elettroniche; VISTAla direttiva 2009/136/CE del 25 novembre 2009, del Parlamento europeo e delConsiglio, recante modifica della direttiva 2002/22/CE relativa al serviziouniversale e ai diritti degli utenti in materia di reti e di servizi dicomunicazione elettronica, della direttiva 2002/58/CE relativa al trattamentodei dati personali e alla tutela della vita privata nel settore dellecomunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sullacooperazione tra le autorità nazionali responsabili dell'esecuzione dellanormativa a tutela dei consumatori; VISTOil decreto legislativo 28 maggio 2012, n. 69 "Modifiche al decretolegislativo 30 giugno 2003, n. 196, recante codice in materia di protezione deidati personali in attuazione delle direttive 2009/136/CE, in materia ditrattamento dei dati personali e tutela della vita privata nel settore dellecomunicazioni elettroniche, e 2009/140/CE in materia di reti e servizi dicomunicazione elettronica e del regolamento (CE) n. 2006/2004 sullacooperazione tra le autorità nazionali responsabili dell'esecuzione dellanormativa a tutela dei consumatori" (pubblicato nella GazzettaUfficiale del 31 maggio 2012, n. 126); VISTOil decreto legislativo 28 maggio 2012 n. 70 "Modifiche al decretolegislativo 1° agosto 2003, n. 259, recante codice delle comunicazionielettroniche in attuazione delle direttive 2009/140/CE, in materia di reti eservizi di comunicazione elettronica, e 2009/136/CE in materia di trattamentodei dati personali e tutela della vita privata" (pubblicato nellaGazzetta Ufficiale del 31 maggio 2012, n. 126); VISTAla documentazione in atti; VISTEle osservazioni dell'Ufficio, formulate dal segretario generale ai sensidell'art. 15 del Regolamento del Garante n. 1/2000 del 28 giugno 2000; Relatorela dott.ssa Augusta Iannini; PREMESSO Ilpresente provvedimento intende fornire indicazioni in relazione alla disciplinadi legge applicabile al trattamento dei dati relativi a persone giuridiche,enti e associazioni a seguito della parziale abrogazione, di cui all'art. 40,secondo comma, del d.l. n. 201 del 6 dicembre 2011, convertito con legge n. 214del 22 dicembre 2011, di alcune delle disposizioni contenute nella parte primadel Codice, recante le "Disposizioni generali". Nel redigerlo sonostate, in particolare, tenute in considerazione le numerose istanze(segnalazioni e richieste di pareri) pervenute sull'argomento e volte asollecitare gli opportuni chiarimenti, anche in via interpretativa, a frontedelle difficoltà operative evidenziate dai titolari di trattamenti di tali datinonché di talune lamentate disarmonie riscontrabili nel testo di legge come emendato. Gliarticoli del Codice interessati dalle modifiche in esame disciplinano,rispettivamente, le definizioni (art. 4), l'oggetto e l'ambito di applicazione(art. 5), le modalità di esercizio dei diritti dell'interessato (art. 9) ed itrasferimenti dei dati verso paesi terzi (art. 43) e fanno ora - com'è noto -esclusivo riferimento alle persone fisiche e non già, come prima dellamodifica, anche a quelle giuridiche, a enti e ad associazioni. Diqui l'opinione diffusa che il trattamento dei dati relativo alle personegiuridiche, enti ed associazioni sia stato radicalmente escluso dall'ambito diapplicazione del Codice. In effetti la direttiva 95/46/CE del Parlamentoeuropeo e del Consiglio del 24 ottobre 1995 relativa alla "tutela dellepersone fisiche con riguardo al trattamento dei dati personali, nonché allalibera circolazione di tali dati" aveva lasciato un ampio margine dimanovra agli Stati membri in modo che fosse loro rimessa, in sede direcepimento nazionale, la facoltà di prevedere l'estensione della portataapplicativa delle norme in materia di privacy anche alle persone giuridicheovvero di limitarla esclusivamente ai trattamenti di dati delle sole personefisiche. Il legislatore italiano del 1996, con scelta confermata anche nel 2003anche se controcorrente rispetto a quelle effettuate dalla maggior parte deglialtri Stati membri, aveva optato - com'è noto - per la prima soluzione edincrementato, così, sia gli adempimenti che gravano sui titolari deltrattamento sia le garanzie e le tutele in favore delle persone giuridichenella specifica qualifica di interessati. Oggi,a seguito delle richiamate abrogazioni, per dato personale deve inveceintendersi "qualunque informazione relativa a persona fisica, identificatao identificabile, anche indirettamente, mediante riferimento a qualsiasi altrainformazione, ivi compreso un numero di identificazione personale" e perinteressato esclusivamente "la persona fisica cui si riferiscono i datipersonali" (cfr., rispettivamente, l'art. 4, comma 1, lett. b) e i)del Codice, nella sua novella formulazione). Indefinitiva, la portata applicativa di tutte le disposizioni del Codice cheriguardano gli interessati ovvero il trattamento di dati personali è statalimitata in via esclusiva alle persone fisiche ed ai trattamenti diinformazioni personali che vi si riferiscono. Occorretuttavia soffermare l'attenzione sulle norme contenute nella parte speciale delCodice, segnatamente nel suo titolo X ("Comunicazioni elettroniche"),di diretta derivazione comunitaria poiché emanato in attuazione dellarichiamata direttiva 2002/58/CE relativa al trattamento dei dati personali ealla tutela della vita privata nel settore delle comunicazioni elettroniche edi recente integrato e modificato dal d. lgs. 28 maggio 2012, n. 69; conulteriore, specifico riguardo al suo capo 1, che interessa i "Servizi dicomunicazione elettronica". Ciò al fine di valutare se, all'esito dellerichiamate modifiche alla disciplina di legge, le persone giuridiche siano, alpari di quelle fisiche, tuttora ricomprese o meno nel campo di applicazione ditali disposizioni. Čopportuno sottolineare che la norma di apertura del capo in esame, e cioèl'art. 121, che individua l'ambito di applicazione delle regole relative aiservizi di comunicazione elettronica e non risulta interessato dalla riforma,fa esplicito riferimento al trattamento di dati personali (testualmente: "Ledisposizioni del presente titolo si applicano al trattamento dei dati personaliconnesso alla fornitura di servizi di comunicazione elettronica accessibili alpubblico su reti pubbliche di comunicazioni"); quelli cioè che possonoora riferirsi soltanto alle persone fisiche, secondo la novella definizione didato personale di cui all'art. 4, comma 1, lett. b) del Codice, sopra riprodotta. Questaconsiderazione, che ad un primo esame parrebbe dunque orientare perl'esclusione delle persone giuridiche anche dall'ambito applicativo dell'interocapo, deve essere tuttavia integrata dall'esame di ulteriori elementi. Ci siriferisce al fatto che, nonostante la definizione di interessato nonricomprenda più le persone giuridiche e l'art. 121 – lo si è visto –menzioni esplicitamente i "dati personali", la quasi totalitàdelle altre disposizioni contenute nel richiamato capo 1 del titolo X del Codicesono rivolte a destinatari individuati non in funzione della loro qualificasoggettiva (se, cioè, persone fisiche ovvero giuridiche), bensì di unaqualifica ulteriore che ne prescinde: segnatamente, quella di"contraente", termine che, proprio a seguito dell'entrata in vigoredel d.lgs. n. 69/2012, a far data dal 1° giugno 2012 ha sostituito, nelledisposizioni del Codice, quello di "abbonato", utilizzato inprecedenza. Ilconcetto di "abbonato", e dunque ora di "contraente", ècertamente applicabile, anche sulla base di principi comunitari, tanto allepersone fisiche quanto a quelle giuridiche: in tal senso, cfr. il considerando12 della menzionata direttiva 2002/58/CE, secondo il quale "gli abbonatiad un servizio di comunicazione elettronica accessibile al pubblico possonoessere persone fisiche o persone giuridiche". Tral'altro la definizione di "abbonato" (ora "contraente"),sebbene rilevante per il diritto alla protezione dei dati, è in effetti mutuatada altri settori (innanzitutto quello delle comunicazioni elettroniche), oltreche di evidente, prevalente origine contrattuale. Simenziona, al riguardo, l'art. 1, comma 1, lett. a) del d. lgs. 1 agosto 2003,n. 259 (c.d. Codice delle comunicazioni elettroniche), che riconosce larelativa qualifica a la persona fisica o giuridica che sia parte di uncontratto con il fornitore di servizi di comunicazione elettronica accessibilial pubblico, per la fornitura di tali servizi". Ild.l. n. 201/2011 non ha allora in alcun modo interessato – né avrebbepotuto - tale nozione, rimasta appunto intatta nella formulazione di cuiall'art. 4, comma 2, lett. f) del Codice: "qualunque persona fisica,persona giuridica, ente o associazione parte di un contratto con un fornitoredi servizi di comunicazione elettronica accessibili al pubblico per lafornitura di tali servizi, o comunque destinatario di tali servizi tramiteschede prepagate". Questapreliminare interpretazione letterale è confermata dalla circostanza,desumibile a contrario, che qualora il legislatore avesse inteso stralciare lepersone giuridiche anche dal campo di applicazione del capo 1 del titolo X delCodice, si sarebbe limitato a sostituire la dizione di "abbonato"(ora "contraente") con quella di "utente" la quale, anchein ragione della definizione che ne viene resa, è ovviamente applicabilesoltanto alle persone fisiche. (Testualmente: "qualsiasi persona fisicache utilizza un servizio di comunicazione elettronica accessibile al pubblico,per motivi privati o commerciali, senza esservi necessariamente abbonata",art. 4, comma 1, lett. g) del Codice). Confortaquesto convincimento un ulteriore elemento, tratto dall'analisi del Dossier didocumentazione, dell'8 dicembre 2011, predisposto dal Servizio Studi dellaCamera dei deputati a corredo del menzionato d.l. 201/2011. Vi si chiariscecome, a fronte delle abrogazioni già esaminate e relative agliinteressati-persone giuridiche, "non viene invece modificata ladefinizione di "abbonato" [ora "contraente"], che continuaad essere riferita sia alle persone fisiche che alle persone giuridiche, enti oassociazioni (Š)". Questi ultimi soggetti "continuerannopertanto a fruire della tutela prevista dal titolo X del codice della privacyper gli abbonati a servizi di comunicazione elettronica". Inrealtà anche il ricorso a criteri interpretativi di carattere sistematico rendeconto del fatto che il legislatore ha inteso assicurare prevalenzaall'applicazione di tutte quelle norme, di carattere speciale, che assumonocome presupposto il trattamento di dati dell'"abbonato" (ora"contraente"). Tantopiù se si considera il principio del c.d. obbligo di interpretazione conforme,che impone la lettura del diritto interno nazionale nel senso più aderentepossibile a quello comunitario, specie avuto riguardo alle considerazioni giàsvolte in merito alle menzionate direttive in materia di comunicazionielettroniche delle quali - lo si ripete - il titolo X del Codice costituisceattuazione. L'interpretazioneche si prospetta riceve ulteriore supporto dalla disamina dell'art. 130 delCodice, rubricato "Comunicazioni indesiderate". Anche tale norma èstata infatti oggetto di recenti, significative modifiche ad opera del d. lgs.n. 69/2012, le quali appaiono rilevanti pure per gli aspetti che quiinteressano. Ineffetti nella sua formulazione precedente l'articolo in esame poneva, ai commi1 e 2, le regole per l'effettuazione delle comunicazioni promozionali inoltratecon sistemi automatizzati di chiamata oppure per il tramite di strumenti diposta elettronica, telefax, sms o mms e le riferiva esplicitamenteall'"interessato"; con l'effetto che tali previsioni risultavanoapplicabili soltanto ai trattamenti di dati personali delle persone fisiche enon anche di quelle giuridiche, rendendo queste ultime, di conseguenza,liberamente contattabili per finalità promozionali con le descritte modalità. Ilmedesimo art. 130, ai commi 3-bis, 3-ter e 3-quater relativi all'istituzione eal funzionamento del Registro pubblico delle opposizioni, era invece, ancheprima dell'entrata in vigore del d. lgs. n. 69/2012, già pienamente applicabilealle persone giuridiche, in virtù del richiamo in esso contenuto all'art. 129che disciplina l'inserimento e l'utilizzo negli elenchi telefonici dei datidegli abbonati (ora "contraenti"). In altre parole, le chiamatepromozionali con intervento dell'operatore e - de iure condendo ed in attesache venga emanato il relativo regolamento di attuazione che disciplineràl'estensione anche al marketing postale delle regole sul Registro delle opposizioni- le comunicazioni pubblicitarie cartacee per la cui effettuazione ci siavvalga di dati, di persone fisiche ovvero giuridiche, tratti dagli elenchitelefonici, già erano - e continuano ad essere - assoggettate al regimedell'opt-out, nelle forme e nei modi previsti per il funzionamento del Registrodelle opposizioni. L'assettonormativo precedente la riforma, come illustrato, da un lato dunque consentivaliberamente i contatti promozionali verso persone giuridiche effettuati conmezzi particolarmente invasivi (quelli di cui ai commi 1 e 2 dell'art. 130);dall'altro subordinava, tuttavia, le telefonate commerciali con operatore (e,de iure condendo, l'invio di comunicazioni pubblicitarie cartacee) alpreventivo, oneroso riscontro con il Registro delle opposizioni, dunque almancato esercizio dell'opt-out da parte dell'abbonato; e ciò nonostante iltelemarketing effettuato per il tramite di un operatore rivesta indubbiamentecarattere di minor afflittività per l'interessato rispetto ai contatti che siavvalgono di modalità automatizzate quali chiamate preregistrate, fax, sms,mms, messaggi di posta elettronica etc. Atale manifesta incongruenza il legislatore ha ovviato con un intervento diarmonizzazione: in effetti l'art. 1, comma 7, lett. a), n. 3 del citato d. lgs.69/2012 ha opportunamente eliminato, dall'art. 130 del Codice, il termine"interessato", sostituendolo con quello di "contraente outente"; ciò che ha reso pertanto applicabili quelle previsioni anche allepersone giuridiche. La modifica voluta dal legislatore costituisce alloraesplicita conferma dell'interpretazione, già illustrata, per la quale lepersone giuridiche devono senz'altro essere annoverate, al pari di quellefisiche, tra i soggetti destinatari delle previsioni di cui al titolo X, capo 1del Codice, con la sola eccezione dell'art. 132-bis, anch'esso introdotto dald. lgs. n. 69/2012, che pone a carico dei fornitori di servizi di comunicazioneelettronica l'obbligo di istituire apposite procedure "per corrisponderealle richieste effettuate in conformità alle disposizioni che prevedono formedi accesso a dati personali degli utenti" (e dunque delle sole personefisiche). Laprospettata ricostruzione, se da un lato contribuisce a delineare piùchiaramente, innanzitutto in via interpretativa, il quadro di adempimenti etutele previsti nel settore delle comunicazioni elettroniche riconducendoall'interno del relativo campo di applicazione anche i contraenti-personegiuridiche, dall'altro lascia, tuttavia, inalterato un impianto normativocomplesso e di non agevole lettura. Il sistema è in effetti tuttora connotatodal permanere di alcune delle menzionate difficoltà operative che gravano suititolari del trattamento e di talune disarmonie indotte dal mancatocoordinamento tra le disposizioni preesistenti e le modifiche che si sono viavia succedute, specie in così rapida e recente successione. Sisegnala, ad esempio, tra gli effetti più immediati di tale fenomeno, quello cheriguarda la previsione di cui all'art. 141 del Codice. Tale norma,disciplinando le forme di tutela dinanzi al Garante, consente infatti testualmenteai soli "interessati", dunque soltanto alle persone fisiche, di farviricorso. Intermini più concreti, e fermi restando i poteri di iniziativa e di impulso exofficio del Garante, le persone giuridiche, gli enti e le associazioni, a fardata dal 6 dicembre 2011, non sono più legittimati a proporre segnalazioni,reclami e ricorsi dinanzi all'Autorità dovendo avvalersi, se del caso, degliordinari strumenti di tutela apprestati dall'ordinamento, ivi compreso -qualora ne ricorrano i presupposti - il ricorso all'autorità giudiziaria di cuiall'art. 152 del Codice; con l'effetto che tale significativa limitazioneinteressa anche i "contraenti", pur nell'accezione, già illustrata,che ricomprende in tale nozione tanto le persone fisiche quanto le giuridiche.Ed è certamente singolare che l'ordinamento attribuisca, da un lato, aisoggetti così identificati la dovuta tutela di cui alle disposizioni del titoloX, capo 1, del Codice; dall'altro, neghi loro la possibilità di far ricorsoagli strumenti (segnalazioni, reclami e ricorsi) mediante i quali far valere ipropri diritti dinanzi all'Autorità. Con un ulteriore riflesso:all'applicabilità alle persone giuridiche delle norme relative ai"contraenti" consegue anche la pari applicabilità, ai titolari deltrattamento che abbiano agito in loro violazione, delle sanzioni, di caratteresia amministrativo sia penale, previste dal Codice. Basti pensare, ad esempio,alle disposizioni di cui agli artt. 162, commi 2-bis e 2-quater, 162-bis e 167.Induce, allora, motivate perplessità il fatto che, a fronte di questacircostanza, sia comunque precluso alla persona giuridica oggetto di illecitidi rivolgersi all'Autorità invocandone la tutela amministrativa ai sensi delrichiamato art. 141. Eancora: l'art. 15 del Codice sui danni cagionati per effetto del trattamentonella sua attuale, immutata formulazione, risulta applicabile esclusivamente aidanni cagionati "per effetto del trattamento di dati personali", cioèdelle informazioni relative alle persone fisiche e non anche a quellegiuridiche (se pure nella limitata, specifica accezione di"contraenti"). Vero è che queste ultime potrebbero eventualmentetrovare soddisfazione alle proprie pretese risarcitorie azionando gli ordinaririmedi giurisdizionali dinanzi all'Autorità giudiziaria (ad es. ex art. 2043cod. civ.), ma in tal caso verrebbero private del favor indotto dallaprevisione dell'inversione dell'onere della prova disciplinata propriodall'art. 15 del Codice per il tramite del richiamo esplicito all'art. 2050 cod.civ. Madove il sistema attuale mostra con maggior evidenza le denunciate carenze dicoordinamento è con riguardo all'eventualità nella quale i dati delle personegiuridiche, enti o associazioni da utilizzare per finalità commerciali, anzichédagli elenchi telefonici (come previsto dalla fattispecie di cui all'art. 130,commi 3-bis ss. del Codice), siano invece reperiti altrove (ad esempio trattida siti internet o da albi, atti o documenti pubblici etc.). Al ricorrere ditale ipotesi, anche la telefonata promozionale con operatore e, in prospettiva,la comunicazione pubblicitaria cartacea potrebbero risultare estranee alsistema di adempimenti e garanzie previsti dal Codice e quindi, nei confrontidi tali specifici trattamenti, i soggetti cui i dati si riferisconoresterebbero privi di ogni pur minima tutela. Ciòin quanto il trattamento dei dati che costituisce presupposto di quei contattipromozionali, se effettuato nei confronti di persone giuridiche, enti oassociazioni, non risulta più soggetto agli obblighi di preventivo rilasciodell'informativa ed acquisizione del consenso. Manca, in effetti, la possibilitàdi ricondurlo alla disciplina generale di cui agli artt. 23 e 24 del Codice,testualmente applicabili esclusivamente agli interessati (cioè, ora, allepersone fisiche). Siritiene, in definitiva, che le problematiche evidenziate rendano opportunaun'ulteriore valutazione da parte del Parlamento e del Governo tesa allaverifica dei presupposti per l'adozione degli eventuali provvedimenti dicompetenza. TUTTO CIO' PREMESSO, IL GARANTE Roma, 20 settembre 2012
|