Massimario
CONTRIBUTI
I PRINCIPI AFFERMATI DAL
G ARANTE NEI PRIMI CINQUE
ANNI DI AT TIVITÀ
www.garanteprivacy.it
Redazione
Stefano Rodotà, Presidente Garante per la protezione dei dati personali
Giuseppe Santaniello, Vice Presidente
Gaetano Rasi, Componente Piazza di Monte Citorio, 121
Mauro Paissan, Componente 00186 Roma
fax 06 69677785
Giovanni Buttarelli, Segretario generale www.garanteprivacy.it
www.dataprotection.org
e-mail: garante@garanteprivacy.it
Pubblicazione della
Presidenza del Consiglio dei Ministri
Dipartimento per l’informazione e l’editoria
Stampa e distribuzione:
Ufficio grafico dell’Istituto Poligrafico e Zecca dello Stato
Piazza di Monte Citorio, 121 presso il Dipartimento per l’informazione e l’editoria
00186 Roma
fax 06 69677785
www.garanteprivacy.it Progetto grafico:
www.dataprotection.org Vertigo Design
Gli autori ringraziano coloro che
nell’Ufficio del Garante hanno
contribuito a questo volume, in
particolare il dott. Maurizio Leante
per la cura editoriale.
Massimario
I PRINCIPI AFFERMATI DAL
G ARANTE NEI PRIMI CINQUE
ANNI DI AT TIVITÀ
1997-2001
Luigi Pecora
Giuseppe Staglianò
www.garanteprivacy.it
Indice
Presentazione 1 Dati idonei a rivelare lo stato di salute 23
II Massimario 1997/2001
Indice
• Appalti pubblici • Imprenditori artigiani
• Attività economiche • I.n.p.g.i.
• Attività giornalistica • Notai e Consigli notarili
• Diritto di difesa • Obblighi contabili, retributivi, previdenziali,
• Fondo nazionale di garanzia nel settore assistenziali e fiscali
dei valori mobiliari • Piccole e medie imprese industriali
• Pubblicazioni occasionali • Pubblicazioni occasionali
• Richieste referendarie
• Soggetti pubblici Misure per la sicurezza dei dati e dei sistemi 76
Casi particolari 60 Archivi di reparti ospedalieri 76
• Attività sportiva Banche dati centralizzate 76
• Concessionari di servizi telefonici Conservazione e lettura di immagini 77
• Coupon Dati in busta paga 78
• E-mail e spamming Fondo di solidarietà per le vittime dell’usura 78
• Partiti politici Misure minime 78
• Pubblicità telefonica Questionari R.a.i. 79
• Esercenti le professioni sanitarie Rilevazioni biometriche 80
Riservatezza nelle operazioni bancarie 80
Titolare, responsabile, incaricato 62
Profili generali 62 Cessazione del trattamento 80
Casi particolari 65
• Associazioni professionali
• Attività giornalistica Privati ed enti pubblici
• Autore della pubblicazione
• Aziende farmaceutiche
economici 83
• Comuni e province
Settori di attività 85
• Concessionari di pubblici servizi
Attività giornalistica 85
• Condominio negli edifici
• Profili generali
• Ministeri
• Informativa semplificata
• R.a.i.
• Pubblicazioni occasionali
• Servizi informatici di postalizzazione
- Profili generali
• Servizi di posta elettronica ibrida epistolare
- Biografie di dirigenti di partiti politici
• Titolare di trattamento correlato ed autonomo
• Ufficio per la mediazione penale di Milano
- Epistolario
- Opuscoli di propaganda politica
Notificazione 72 ed elettorale
Profili generali 72 - Provvedimenti disciplinari adottati
In forma semplificata 73 dai Consigli dell’Ordine degli avvocati
Esonero 74 - Rassegne stampa
Indice III
Indice
• Casi particolari • Ungheria
- Dati reddituali dei contribuenti • Paesi che non garantiscono un adeguato
- Dati derivanti da intercettazioni livello di protezione
- Interviste e dichiarazioni alla stampa
- Minori
- Cronaca giudiziaria
Soggetti pubblici 117
- Pubblicazioni di matrimonio
- Segreto professionale del giornalista Profili generali 119
Biometria 96
Istituti di credito 98 Settori di attività 122
• Profili generali Agenzie regionali per l’impiego 122
• Rapporti con la Banca d’Italia Anagrafe dei rapporti di conto e di deposito 123
• Casi particolari Archivi di Stato 123
- Benefondi Comuni e province 123
- Dichiarazione dei redditi dei contribuenti Concessionari di pubblici servizi 125
- Rilevazioni biometriche all’ingresso Ministero della difesa 126
delle banche Ministero delle comunicazioni 126
- Riservatezza nelle operazioni bancarie Prefetto 126
Istituti scolastici e università 101 Privati incaricati del trattamento 127
Lavoro e previdenza 101 R.a.i. 127
Sanità 101 Servizi ispettivi delle Aziende sanitarie
Videosorveglianza 101 locali 128
Ufficio italiano cambi 128
Operazioni di trattamenti dei dati 108 Ufficio per la mediazione penale di Milano 128
Comunicazione e diffusione 108 Istituti scolastici e università 129
• Profili generali • Istituti scolastici
• Casi particolari • Università
- Aziende speciali Lavoro e previdenza 132
- Cassa italiana di previdenza • Profili generali
ed assistenza dei geometri • Collocamento
- Concessionari di servizi telefonici • Invalidità civile
- Condominio negli uffici • Note di qualifica e relazioni predisposte
- E.n.e.l. dal datore di lavoro
• Casi particolari
Trattamento per fini personali 112 • Agenzie regionali per l’impiego
• Cartellini identificativi dei dipendenti
Trasferimento dei dati all’estero 113 • Codici identificativi numerici dei
• Stati Uniti d’America dipendenti
• Svizzera • Dipendenti della pubblica
IV Massimario 1997/2001
Indice
amministrazione • Collocamento
• Indagini sul luogo di lavoro • Comuni e province
• Informazioni sul dipendente • Consigli dell’Ordine e provvedimenti
contenute in e-mail disciplinari
• I.n.p.g.i. • Dati reddituali dei contribuenti
• Dati genetici
Indice V
Indice
• Architetti Proposizione immediata del ricorso 207
• Assistenti sociali
• Dottori commercialisti Diritto di accesso 207
• Geometri Profili generali 207
• Medici Richiesta di accesso ai documenti
• Tecnici radiologi amministrativi 210
• Ragionieri e periti commerciali Accesso ai dati e accesso ai documenti 212
• Titolari di cariche elettive e di incarichi Registri, elenchi, atti o documenti
dirigenziali conoscibili da chiunque 215
• Albi dei tecnici radiologi
Consultazione del Garante da parte • Dati reddituali dei contribuenti
delle pubbliche amministrazioni 190 • Elenchi degli elettori dei comitati
degli italiani all’estero
• Elenchi telefonici
Telecomunicazioni e • Liste elettorali
reti telematiche 193 • Pubblicazioni di matrimonio
• Registro generale dei trattamenti
Profili generali 195 Casi particolari 219
• Anagrafe delle prestazioni dei
Casi particolari 195 dipendenti pubblici
Concessionari di servizi telefonici 195 • Anagrafe e stato civile
E-mail e spamming 196 • Centrali rischi private
Informazioni sul dipendente • Certificato di assistenza al parto
contenute in e-mail 196 • Concorsi pubblici
Pubblicità telefonica 196 • Consiglieri comunali e provinciali
Servezi informatici di postalizzazione 197 • Giornalisti ed editori
Servizi di posta elettronica ibrida • Interviste e dichiarazioni alla stampa
epistolare 197 • Istituti di patronato ed assistenza sociale
Sistemi di interconnessione • Lavoro e previdenza
telematica tra banche dati 198 • Operazioni di finanziamento
Utenze e traffico telefonico 198 • Perizie medico legali
• Pubblicità telefonica
• R.a.i.
Diritti dell’interessato 203 • Utenze e traffico telefonico
VI Massimario 1997/2001
Indice
Cancellazione, aggiornamento, rettifica • Preventiva adizione dell’A.g.o.
o integrazione dei dati 227 • Preventiva adizione del giudice amministrativo
• Proposizione immediata del ricorso
Opposizione al trattamento 230 Non luogo a provvedere 254
• Profili generali
Origine dei dati 232 • Non luogo a provvedere e instaurazione
di autonomo procedimento
Limiti all’esercizio dei diritti 233 • Tardivo riscontro all’istanza di accesso ai dati
Differimento 233 • Tutela di ulteriori diritti avanti l’A.g.o.
Intermediari e mercati creditizi e finanziari 236 Formalità del procedimento 256
Accoglimento o rigetto 257
• Profili generali
Tutela amministrativo - • Mera disponibilità del titolare a fornire i dati
giurisdizionale • Riscontro incompleto
Spese del procedimento 260
e sanzioni 239 • Accoglimento del ricorso e
compensazione delle spese
Ricorso al Garante 241
• Non luogo a provvedere sul ricorso
Inammissibilità 241
e compensazione delle spese
• Dati trattati dal C.e.d. del Dipartimento
• Non luogo a provvedere sul ricorso
di pubblica sicurezza
e condanna alle spese
• Diritti non azionabili con l’istanza
Estinzione del procedimento 262
di accesso ai dati
• Rinunzia agli atti
• Inammissibilità del ricorso e instaurazione
di autonomo procedimento
Alternatività della tutela dinanzi
• Incompetenza del Garante
al Garante 262
• Risarcimento danni
Indice VII
Presentazione
Perché un Massimario
In cinque anni di attività è stata adottata infatti una mole imponente di prov-
vedimenti. In questa prima edizione dell’opera, gli autori (i magistrati, collocati fuori
ruolo presso il Garante per la protezione dei dati personali, Cons. Luigi Pecora e Dott.
Giuseppe Staglianò), nello svolgimento di un’attività che li ha impegnati per un lungo
periodo e in costante contatto con l’ufficio del Segretario generale, Cons. Giovanni But-
tarelli, hanno provveduto a ordinare e massimare i provvedimenti assunti dal Garante
a decorrere dal maggio 1997, anno in cui l’Autorità ha iniziato concretamente ad ope-
rare, e fino al dicembre 2001.
Presentazione 3
In questo articolato contesto normativo, caratterizzato da fonti di vario livello,
un’opera che offre un agevole ed agile accesso alla complessa attività svolta dal Garante
contribuisce concretamente alla realizzazione della effettività dei diritti tutelati, diffon-
dendone la consapevolezza, evidenziandone i limiti e chiarendo le modalità di tutela.
Le massime dei provvedimenti sono state redatte secondo una rigorosa tecnica
giuridica, analoga a quella utilizzata nei repertori di giurisprudenza, col proposito di
evidenziare con chiarezza i principi di diritto affermati in relazione alle norme appli-
cate. Apprezzabilmente, tuttavia, non si è trascurato di precisare, laddove si è reso ne-
cessario, la fattispecie giuridica concreta che ha dato luogo alla pronuncia.
Una cura particolare è stata poi dedicata alla classificazione dei provvedimen-
ti. Prendendo le mosse da una articolazione semplice, in sette grandi voci, si giunge, at-
traverso progressivi approfondimenti, a livelli di definizione più specifici, così, da ren-
dere possibile la ricerca anche di provvedimenti resi su argomenti molto particolari. Ci
si è poi preoccupati di evidenziare la trasversalità di numerosi provvedimenti che inte-
ressano settori diversi. La minuziosa classificazione, che utilizza anche la tecnica del rin-
vio a voci connesse o comunque interessate, consente di ottenere, con semplicità, una ri-
cerca completa.
Tali caratteristiche rendono questo strumento, oltre che esaustivo nei contenuti,
particolarmente duttile ed adattabile anche all’uso da parte di un utente non necessa-
riamente specializzato.
Il presente volume contiene una sintesi dei principi affermati dal Garante nel
corso del primo quinquennio di attività, ordinati secondo uno schema di classificazio-
ne e completati dei riferimenti necessari per reperire i singoli provvedimenti. Benché
non si tratti di un tradizionale massimario ufficiale nel senso vero e proprio del termi-
ne, e sia quindi consigliabile anche la lettura integrale dei provvedimenti per la com-
prensione di tutti i dettagli relativi ai singoli casi, il Garante intende promuoverne la
conoscenza anche attraverso altre fonti documentali. Per questo, l’attività di massima-
zione proseguirà; i risultati saranno consultabili anche mediante il sito web istituzio-
nale e i bollettini, e verranno costantemente aggiornati. L’aggiornamento periodico, pe-
raltro, oltre a rispondere all’ovvia esigenza di dar conto dell’evoluzione dell’attività
svolta dal Garante, trova la sua essenziale giustificazione nella mutevolezza e nell’am-
pliamento dei settori di intervento dell’attività dell’Autorità.
4 Massimario 1997/2001
organizzazione della pubblica amministrazione nelle sue molteplici funzioni stanno ra-
dicalmente modificandosi.
IL GARANTE
Presentazione 5
Avvertenza
Le norme citate nel testo sono quelle in vigore all’epoca della pronuncia dei prov-
vedimenti da cui ciascuna massima è stata tratta. Attesa la recente emanazione del
“Codice in materia di protezione dei dati personali” (d.lg. 30 giugno 2003, n. 196),
le cui disposizioni entreranno in vigore il 1° gennaio 2004, al fine di agevolare la let-
tura alla pag. 265 viene riportata la tavola di corrispondenza tra le norme attual-
mente vigenti in materia di privacy e quelle del Codice destinate a sostituirle.
Categorie
e requisiti dei
dati personali
• Dato personale
• Dati giudiziari
• Dati sensibili
Nozione
Affidabilità economica
Ai sensi della legge n. 675/1996, costituiscono dati personali del soggetto che chiede un
finanziamento le valutazioni sulla sua affidabilità economica che una società finanziaria pone a
base della decisione di rigetto della domanda. Tali motivazioni, quindi, possono essere oggetto
dell’istanza di accesso prevista dall’art. 13 della legge e del successivo ricorso al Garante pro-
posto ai sensi dell’art. 29.
• Garante 25 ottobre 2001, in Bollettino n. 23, pag. 91 (v. anche www.garanteprivacy.it: doc. n. 40305)
Dato anonimo
L’informazione originariamente non associabile ad uno specifico interessato (c.d. dato ano-
nimo) può divenire “dato personale” ex art. 1 della legge n. 675/1996 allorché, attraverso una
successiva operazione di collegamento ad informazioni di diversa natura, risulti comunque ido-
nea a rendere identificabile un soggetto. Ne consegue che, ai sensi dell’art. 27, comma 3 della
legge n. 675/1996, in mancanza di specifiche norme di legge o di regolamento, non può ritenersi
consentita la comunicazione a privati, da parte di un soggetto pubblico, di dati statistici appa-
rentemente anonimi, qualora il campione dei dati da analizzare, benché richiesto per scopi scien-
tifici e di ricerca, per genere e consistenza numerica, consenta di risalire ai diretti interessati.
• Garante 23 gennaio 1998, in Bollettino n. 3, pag. 24 (v. anche www.garanteprivacy.it: doc. n. 39568)
Non violano le disposizioni sulla protezione dei dati personali (in particolare, le prescri-
zioni impartite dal Garante con il Provvedimento generale del 29 novembre 2000) sistemi ed
apparecchiature di ripresa dislocate su spiagge – a fini promozionali, pubblicitari o di informa-
zione agli utenti – che, in ragione della distanza dal luogo ripreso o di altre caratteristiche tecni-
che, non consentano di identificare, anche indirettamente, gli interessati.
• Garante 14 giugno 2001, in Bollettino n. 21, pag. 43 (v. anche www.garanteprivacy.it: doc. n. 41782)
L’art. 17 della legge n. 675/1996 non vieta la possibilità di avvalersi anche di elaborazioni
Informazioni cifrate
Lavoro e previdenza
• V.: SOGGETTI PUBBLICI > SETTORI DI ATTIVITÀ > LAVORO E PREVIDENZA (P. 128)
La legge n. 675/1996, che considera “dato personale” qualunque informazione che con-
senta l’identificazione del soggetto interessato, anche se derivante da suoni o immagini (es.: regi-
strazioni sonore, filmati, ecc.), riguarda tutte le operazioni di trattamento dei dati, a prescindere
dal fatto che le informazioni trattate siano contenute in una banca dati o in un archivio. Anche
un’intervista o un colloquio, quindi, come qualsiasi altra dichiarazione, opinione, o manifesta-
zione del pensiero proveniente dall’interessato (uno scritto, un saggio, un articolo, ecc.), costitui-
Le perizie medico legali comprendono dati personali del paziente interessato sia nelle parti
dove vengono riportati dati identificativi, riscontri di visite mediche ed i c.d. esami obiettivi, sia
nella parte conclusiva che comprende generalmente le valutazioni soggettive del perito fiducia-
rio: infatti, trattasi di un complesso di informazioni che, pur nella sua eterogeneità, fornisce un
insieme di elementi informativi, diretti e indiretti, sul soggetto interessato, sulle sue eventuali
patologie e sul rapporto fra esse ed altri eventi di vita del medesimo, con la conseguenza che tali
dati ricadono nell’ambito di applicazione della legge n. 675/1996.
• Garante 13 ottobre 1999, in Bollettino n. 11/12, pag. 61 (v. anche www.garanteprivacy.it: doc. n. 42098)
• Garante 30 dicembre 1999, in Bollettino n. 11/12, pag. 66 (v. anche www.garanteprivacy.it: doc. n. 40847)
Il concetto di “dato personale” comprende ogni notizia, informazione o elemento che abbia
un’efficacia informativa tale da fornire un contributo di conoscenza rispetto ad un soggetto iden-
tificato o identificabile; in esso rientrano non solo le informazioni oggettivamente caratterizzate,
ma anche i giudizi, le analisi e le valutazioni, come, ad esempio, le perizie redatte da professio-
nisti sanitari.
• Garante 13 ottobre 1999, in Bollettino n. 11/12, pag. 61 (v. anche www.garanteprivacy.it: doc. n. 42098)
• Garante 30 dicembre 1999, in Bollettino n. 11/12, pag. 66 (v. anche www.garanteprivacy.it: doc. n. 40847)
Le perizie medico legali possono contenere dati personali dell’interessato, il cui tratta-
mento ricade nell’ambito di applicazione della legge n. 675/1996, sia nelle parti dove vengono
riportati dati identificativi, riscontri di visite mediche e di c.d. esami obiettivi, sia nella parte con-
clusiva che comprende spesso le valutazioni del perito relative all’interessato.
• Garante 28 dicembre 2000, in Bollettino n. 16, pag. 12 (v. anche www.garanteprivacy.it: doc. n. 30963)
Devono ricomprendersi nel concetto di dato personale di cui all’art. 1 della legge
n. 675/1996 le informazioni contenute nelle perizie medico legali redatte sulla persona del dan-
neggiato su incarico delle compagnie di assicurazione, formulate in forma di valutazioni o giudizi
espressi sull’invalidità o sull’inabilità dell’interessato.
• Garante 22 gennaio 2001, in Bollettino n. 16, pag. 17 (v. anche www.garanteprivacy.it: doc. n. 39961)
Rilevazioni biometriche
• V.: PRIVATI ED ENTI PUBBLICI ECONOMICI > SETTORI DI ATTIVITÀ > BIOMETRIA (P. 92)
Suoni e immagini
La raccolta delle foto segnaletiche da parte degli organi di polizia è finalizzata esclusiva-
mente ad esigenze di sicurezza pubblica e di giustizia; ne consegue che, ove la comunicazione
di dette foto ai mezzi d’informazione avvenga al di fuori di tali finalità, deve ritenersi violata la
legge n. 675/1996 che, all’art. 1, qualifica esplicitamente come “dato personale” qualsiasi infor-
mazione idonea a consentire l’identificazione di un soggetto.
• Garante 2 luglio 1997, in Bollettino n. 1, pag. 62 (v. anche www.garanteprivacy.it: doc. n. 38985)
Le regole della disciplina sul trattamento dei dati personali poste dalla legge n. 675/1996
sono applicabili anche alle immagini ed ai suoni, qualora le apparecchiature che li rilevano per-
mettano di identificare, in modo diretto o indiretto, i soggetti interessati.
• Garante 29 novembre 2000, in Bollettino n. 14/15, pag. 28 (v. anche www.garanteprivacy.it: doc. n. 31019)
Anche le fotografie, ove reso possibile dalla loro specificità, possono contenere dati per-
sonali ai sensi dell’art. 1 della legge n. 675/1996 e possono essere quindi oggetto delle tutele
previste dall’art. 13 della legge.
• Garante 4 gennaio 2001, in Bollettino n. 16, pag. 23 (v. anche www.garanteprivacy.it: doc. n. 41119)
Dati giudiziari
Le informazioni relative ai procedimenti amministrativi, disciplinari e giurisdizionali instau-
rati nei confronti di un interessato non rientrano nell’ambito di applicazione dell’art. 24 della
legge n. 675/1996, che concerne esclusivamente i dati idonei a rivelare taluni provvedimenti giu-
diziari di carattere penale (e cioè quelli previsti dall’art. 686, commi 1, lettere a) e d), 2 e 3 c.p.p.).
• Garante 28 aprile 1999, in Bollettino n. 8, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 39712)
La disciplina introdotta dal d.lg. n. 135/1999 rende ammissibile il trattamento dei dati di
carattere giudiziario da parte delle amministrazioni pubbliche nell’ambito del rapporto di lavoro
e, in particolare, per svolgere attività dirette all’accertamento della responsabilità disciplinare
dei dipendenti (art. 9, comma 2, lett. g).
• Garante 12 luglio 1999, in Bollettino n. 9, pag. 51 (v. anche www.garanteprivacy.it: doc. n. 39660)
L’art. 24 della legge n. 675/1996 prevede particolari garanzie per il trattamento dei dati di
carattere giudiziario, in riferimento, però, non a tutti gli atti di natura giudiziaria, ma ai soli prov-
vedimenti puntualmente elencati nell’art. 686, commi 1, lett. a) e d), 2 e 3, c.p.p.; la sentenza
applicativa di una pena detentiva su richiesta delle parti non rientra tra tali provvedimenti.
• Garante 12 luglio 1999, in Bollettino n. 9, pag. 51 (v. anche www.garanteprivacy.it: doc. n. 39660)
L’annotazione inserita dalla Direzione generale per il personale militare, sul documento
matricolare di un ufficiale della Marina militare, della decisione adottata nei suoi confronti dal
giudice per l’udienza preliminare, come pure la trasmissione del documento all’ufficio presso il
quale il militare presta servizio, al fine dell’espletamento di una pratica stipendiale, non com-
portano violazione dell’art. 24 della legge n. 675/1996. Il d.lg. n. 135/1999, all’art. 9, rende infatti
lecito il trattamento dei dati personali relativi ai provvedimenti giudiziari menzionati nell’art. 24
della legge, ove effettuato per finalità di gestione del rapporto di lavoro.
• Garante 6 febbraio 2001, in Bollettino n. 17, pag. 30 (v. anche www.garanteprivacy.it: doc. n. 40615)
Dati sensibili
Profili generali
Ai fini del trattamento dei dati sensibili, le pubbliche amministrazioni (nel caso specifico i
comuni), a differenza di quanto previsto per i soggetti privati, non sono tenute a richiedere né il
consenso scritto dei singoli interessati né l’autorizzazione preventiva del Garante, essendo suf-
Il quadro normativo delineato dalla legge n. 675/1996 in tema di diffusione di dati sensibili nel-
l’esercizio dell’attività di giornalista ha lasciato inalterata l’esigenza del rispetto, soprattutto in
ordine all’essenzialità dell’informazione rispetto a fatti di interesse pubblico, di alcuni limiti posti al
diritto di cronaca a tutela della riservatezza, suscettibili d’integrazione da parte del codice deonto-
logico di settore, previsto dall’art. 25 della legge.
• Garante 30 marzo 1998, in Bollettino n. 4, pag. 28 (v. anche www.garanteprivacy.it: doc. n. 42220)
I soggetti pubblici, a differenza dei soggetti privati e degli enti pubblici economici, non devono
acquisire il consenso scritto degli interessati per poter trattare i dati sensibili, in quanto per essi le
garanzie in favore degli interessati debbono essere basate non sul consenso ma su una puntuale dis-
posizione di legge che specifichi i tipi dei dati che possono essere trattati, le operazioni eseguibili e
le rilevanti finalità di interesse pubblico perseguite.
• Garante 27 maggio 1998, in Bollettino n. 4, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40691)
I soggetti pubblici, a differenza dei privati e degli enti pubblici economici, non devono richie-
dere il consenso degli interessati e l’autorizzazione del Garante per poter trattare dati sensibili ma,
ai sensi dell’art. 22, comma 3 della legge n. 675/1996, come modificato dal d.lg. n. 135/1999, devono
verificare che tali trattamenti siano conformi a puntuali disposizioni di legge che specifichino i tipi
dei dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pub-
blico perseguite (principio espresso in risposta a un quesito posto da una pubblica amministrazione
relativo al trattamento dei dati sensibili dei propri dipendenti per la gestione del rapporto di lavoro).
• Garante 9 giugno 1999, in Bollettino n. 9, pag. 18 (v. anche www.garanteprivacy.it: doc. n. 39184)
Ai sensi dell’art. 27 della legge n. 675/1996 nonché, per quanto riguarda i dati sensibili, del-
l’art. 22 della legge e della disciplina introdotta dal d.lg. n. 135/1999, è legittimo il trattamento dei
dati personali effettuato dal Consiglio della Provincia autonoma di Trento in relazione alla nomina
o designazione di componenti di altri organismi, di competenza diretta dello stesso Consiglio o
mediante indicazione di singoli consiglieri o di gruppi consiliari, fermo restando l’obbligo del
rispetto dei principi posti dalla legge n. 675/1996, in particolare in tema di informativa all’inte-
ressato (art. 10), di misure di sicurezza (art. 15), nonché degli altri requisiti di legittimità dei dati
(art. 9).
• Garante 15 luglio 1999, in Bollettino n. 9, pag. 69 (v. anche www.garanteprivacy.it: doc. n. 30887)
In base alle disposizioni introdotte dal d.lg. n. 135/1999, i soggetti pubblici possono com-
piere sui dati sensibili soltanto le operazioni di trattamento – incluse la raccolta e la comunica-
zione – strettamente necessarie per perseguire i singoli scopi, verificando anche periodica-
mente la pertinenza e non eccedenza delle informazioni utilizzate, nonché la loro necessità
rispetto alle finalità perseguite nei singoli casi (artt. 3 e 4); inoltre, i dati idonei a rivelare lo
stato di salute o la vita sessuale devono essere conservati separatamente da ogni altro dato
personale trattato per finalità che non richiedono il loro utilizzo e, ove contenuti in banche dati,
elenchi o registri non cartacei, al pari degli altri dati sensibili debbono essere trattati con tec-
niche di cifratura o mediante l’utilizzazione di codici identificativi o di altri sistemi che, tenuto
conto del numero e della natura dei dati trattati, permettono di identificare gli interessati solo
in caso di necessità.
• Garante 1 dicembre 1999, in Bollettino n. 11/12, pag. 14 (v. anche www.garanteprivacy.it: doc. n. 40731)
A seguito dell’entrata in vigore del d.lg. n. 135/1999, le amministrazioni pubbliche, nel trat-
tare i dati sensibili, sono tenute non solo a verificare il costante rispetto dei diritti, delle libertà
fondamentali e della dignità degli interessati, ma anche a provvedere affinché i dati idonei a rive-
lare lo stato d’invalidità siano trattati solo quando non sia possibile effettuare altrimenti i singoli
adempimenti o passaggi procedurali volti al riconoscimento dei benefici. Nello svolgimento dei
compiti in materia di invalidità civile, anche per ciò che riguarda verifiche e controlli, le ammini-
strazioni non incontrano alcun ostacolo nella normativa sui dati personali: esse, però, sono
tenute a modulare con particolare attenzione la raccolta, la custodia e i flussi di dati, indivi-
duando anche nei riguardi di quali fasi e di quali documenti o soggetti sia realmente essenziale
menzionare in tutto o in parte alcune informazioni sullo stato di salute.
• Garante 1 dicembre 1999, in Bollettino n. 11/12, pag. 14 (v. anche www.garanteprivacy.it: doc. n. 40731)
Per il trattamento dei dati aventi natura sensibile, i soggetti pubblici non devono acquisire
il consenso degli interessati o rispettare l’autorizzazione del Garante, ma debbono piuttosto
attenersi al disposto dell’art. 22, commi 3 e 3 bis, della legge n. 675/1996, come modificato dal
d.lg. n. 135/1999, che consente il trattamento di tali dati solo se autorizzato da espresse dispo-
sizioni normative che specifichino i dati che possono essere trattati, le operazioni eseguibili e le
rilevanti finalità di interesse pubblico perseguite.
• Garante 20 giugno 2000, in Bollettino n. 13, pag. 27 (v. anche www.garanteprivacy.it: doc. n. 39065)
Il Garante, richiesto dalla Presidenza del Consiglio dei Ministri - Dipartimento per gli Affari
regionali – di esprimere un parere sullo schema relativo alle “Norme di attuazione dello Statuto
Speciale per la Regione Trentino-Alto Adige in materia di adeguamento di alcune norme in vigore
ai principi di tutela dei dati personali sensibili relativi all’origine etnica”, ha evidenziato che tale
obiettivo non può prescindere da un ripensamento più generale dell’attuale disciplina in mate-
ria di appartenenza e di aggregazione linguistica, la quale, pur essendo diretta a tutelare alcune
minoranze (c.d. “proporzionale etnica”), obbliga però un intero arco di popolazione a formulare
dichiarazioni dalle quali scaturiscono dati di natura sensibile. Pertanto, nel richiamare i principi
già fissati in materia (cfr. provv. Garante 6 febbraio 2001, in Bollettino n. 17, sul trattamento dei
dati personali relativi alle dichiarazioni di appartenenza o di aggregazione ad uno dei tre gruppi
linguistici nella provincia di Bolzano), il Garante, pur esprimendo – entro certi limiti – parere favo-
revole sullo schema normativo predisposto, con separato provvedimento ha svolto ulteriori con-
siderazioni in relazione ai profili di pertinenza e non eccedenza dei dati raccolti ed ai possibili
effetti derivanti da un uso non sufficientemente regolato di dette dichiarazioni, ribadendo l’esi-
stenza di obblighi sostanziali a carico dei soggetti pubblici scaturenti dalle cogenti prescrizioni
contenute nella legge n. 675/1996. Di conseguenza, il Garante, ai sensi dell’art. 31, comma 1,
lett. m), ha segnalato al Governo la necessità di adeguare il quadro normativo di riferimento ai
principi in questione, formulando anche alcuni suggerimenti in relazione al sistema di raccolta
ed utilizzo dei dati.
• Garante 28 settembre 2001, in Bollettino n. 22, pag. 16/19 (v. anche www.garanteprivacy.it: doc. n. 41870)
La persona che si professa atea può ottenere, anche attraverso il ricorso al Garante, di ren-
dere palese tale sua convinzione attraverso la rettificazione o aggiornamento dei dati personali
conservati nei registri parrocchiali dei battezzati, realizzati per mezzo di un’annotazione a mar-
gine del dato da rettificare o con la allegazione all’atto stesso della richiesta di rettifica.
• Garante 13 settembre 1999, in Bollettino n. 9, pag. 54 (v. anche www.garanteprivacy.it: doc. n. 30887)
• Garante 9 giugno 1999, in Bollettino n. 9, pag. 71 (v. anche www.garanteprivacy.it: doc. n. 40779)
Partiti politici
I partiti politici possono trattare dati personali relativi agli iscritti (che hanno natura sensi-
bile ai sensi dell’art. 22 della legge n. 675/1996) solo in presenza del consenso scritto degli inte-
ressati e dell’autorizzazione del Garante (rilasciata attraverso l’apposita autorizzazione gene-
rale). Il consenso deve essere manifestato anche dai sostenitori o dai simpatizzanti non iscritti al
partito.
• Garante 15 ottobre 1998, in Bollettino n. 6, pag. 58 (v. anche www.garanteprivacy.it: doc. n. 42324)
Tessera elettorale
Il modello di tessera elettorale introdotto per la prima volta per le elezioni politiche del
maggio 2001, in quanto rende nota una sequenza di dati relativi a tutte le consultazioni eletto-
rali precedenti, espone il cittadino alla possibilità che la scelta di partecipare e meno alla con-
sultazione sia facilmente conoscibile anche al di fuori della sezione elettorale (come, ad esem-
pio, in caso di smarrimento del documento stesso). Inoltre, attraverso la tessera è possibile
dedurre l’orientamento politico dell’elettore, violando in tal modo la segretezza del voto tutelata
dalla Costituzione, a causa del particolare significato che in talune occasioni – ad esempio, refe-
Nei “test attitudinali” sottoposti da un Comune ai propri dipendenti, al fine della migliore
utilizzazione del personale, non possono essere contenuti quesiti attraverso i quali i lavoratori
esprimano in forma non anonima giudizi di valore riferiti alle complessive finalità dell’ente
comunale, nonché alle linee concrete dell’azione politico-amministrativa dell’ente e dei suoi
dirigenti. I dati così acquisiti, infatti, risultano in contrasto sia con il principio di pertinenza
Ai sensi dell’art. 10 della legge n. 121/1981, come riformulato dall’art. 42 della legge
n. 675/1996, gli interessati possono esercitare direttamente il diritto di accesso ai dati che li
riguardano detenuti dal Centro elaborazione dati del Dipartimento di pubblica sicurezza, anche
al fine di chiedere la correzione o la cancellazione dei dati che risultassero inesatti o incompleti,
oppure trattati in violazione di legge o di regolamento.
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 41 (v. anche www.garanteprivacy.it: doc. n. 41990)
La normativa sugli appalti pubblici (d.lg. n. 157/1985 per gli appalti di beni e servizi; d.lg.
n. 358/1992 per gli appalti di forniture e lavori) attribuisce alle amministrazioni la facoltà di
richiedere alle imprese concorrenti di dimostrare le proprie capacità tecniche mediante la pro-
duzione di un elenco dei principali servizi e forniture effettuati negli ultimi tre anni d’attività,
con l’indicazione degli importi, delle date e dei destinatari delle prestazioni. Analogamente, le
imprese partecipanti possono comunicare tali dati alle amministrazioni richiedenti, nel rispetto
della vigente normativa in materia di segreto aziendale ed industriale, laddove vengano in con-
siderazione dati relativi allo svolgimento di attività economiche (artt. 12, comma 1, lett. f ) ed
art. 20, comma 1, lett. e) della legge n. 675/1996); ne consegue che le imprese concorrenti, ai
fini in questione, non sono tenute ad acquisire il consenso degli interessati (cui dev’essere for-
nita soltanto l’informativa di cui all’art. 10), mentre le amministrazioni appaltanti sono tenute a
rispettare le disposizioni che, anche al di fuori della legge n. 675/1996 e della disciplina sugli
La disciplina delle modalità di utilizzo delle banche dati pubbliche da parte delle varie
amministrazioni deve essere contenuta in norme di legge o di regolamento, in conformità alle
condizioni previste dall’art. 27 della legge n. 675/1996, al fine di realizzare un trasparente
flusso di dati ispirato ad omogenei criteri che garantiscano la protezione dei dati medesimi nel
rispetto dei principi di pertinenza, completezza e non eccedenza sanciti dall’art. 9, lett. d)
della legge.
• Garante 4 marzo 1999, in Bollettino n. 8, pag. 16 (v. anche www.garanteprivacy.it: doc. n. 41187)
Ai fini del contenimento della criminalità in particolari ambiti cittadini, possono essere con-
cluse, tra forze di polizia ed aziende comunali di trasporto pubblico, intese dirette all’introdu-
zione di sistemi di videosorveglianza attraverso l’installazione, in via sperimentale, di teleca-
mere su alcune linee di autobus e tram e presso le fermate. A tal fine, prima dell’attivazione dei
sistemi, la localizzazione delle telecamere e le modalità di ripresa andranno fissate in aderenza
alle finalità che ne hanno suggerito l’installazione, tenendo conto dei principi fissati dall’art. 9
della legge n. 675/1996, con particolare riguardo a quelli di pertinenza e di non eccedenza dei
dati raccolti rispetto agli scopi perseguiti; inoltre, l’attività di videocontrollo, oggetto di preven-
tiva informativa agli utenti ex art. 10 della legge n. 675/1996, dovrà permettere di cogliere in
modo solo panoramico l’interno delle vetture o l’ambito delle singole fermate, in maniera da evi-
tare non solo riprese talmente particolareggiate da risultare intrusive della riservatezza o da con-
sentire la rilevazione di particolari non rilevanti, ma anche da impedire la violazione delle previ-
sioni di cui all’art. 4 della legge n. 300/1970 (in riferimento alle postazioni di guida degli autisti).
Infine, le immagini acquisite, accessibili in chiaro da una “stazione di lettura” sulla scorta di un
sistema di “doppia chiave” congiunta (una in possesso del personale dell’azienda all’uopo pre-
posto, l’altra in possesso dell’autorità di polizia), dovranno essere custodite – unitamente ai
sistemi di lettura – con adeguati sistemi di sicurezza, e potranno essere visionate soltanto in
occasione della commissione di atti criminosi ritualmente denunziati.
• Garante 23 marzo 1999, in Bollettino n. 8, pag. 57 (v. anche www.garanteprivacy.it: doc. n. 40899)
I principi di pertinenza e non eccedenza nel trattamento dei dati personali sanciti dall’art. 9
della legge n. 675/1996 obbligano anche gli organi di polizia e l’autorità giudiziaria a svolgere l’at-
tività di raccolta, utilizzazione e divulgazione dei dati con modalità tali da non recare agli interes-
sati un pregiudizio ingiustificato rispetto alle finalità perseguite. Non appare rispettosa di detti
Non risulta conforme al principio di pertinenza nel trattamento dei dati in relazione alle
finalità perseguite, posto dall’art. 9, comma 1, lett. a) e d) della legge n. 675/1996, la disposi-
zione dell’art. 381 del d.P.R. n. 495/1992 (reg. att. del nuovo codice della strada, introdotto con
d.lg. n. 285/1992) che prevede la diffusione, mediante esposizione nei relativi contrassegni, dei
dati personali (generalità, indirizzo o, alternativamente, fotocopia di un documento di identità)
dei titolari di permessi di accesso a zone a traffico limitato, attribuiti a determinate categorie di
soggetti, o di autorizzazione alla sosta, concesse in favore dei portatori di handicap motorio. Ad
assicurare l’esercizio della funzione amministrativa di controllo sulla liceità e sul corretto utilizzo
di detti permessi è, infatti, sufficiente l’esposizione sui contrassegni, nel primo caso, del numero
di targa e di quello del permesso, nel secondo, dell’indicazione del comune competente e del
numero di autorizzazione, mentre le generalità del titolare, al fine della immediata conoscibilità
da parte di un pubblico ufficiale che le richieda, possono essere riportate sul retro del contras-
segno, celate alla immediata visibilità dall’esterno del veicolo.
• Garante 7 giugno 1999, in Bollettino n. 9, pag. 14 (v. anche www.garanteprivacy.it: doc. n. 40983)
La legge n. 675/1996 non ha modificato la normativa relativa al condominio negli edifici rin-
venibile nel codice civile e non preclude, quindi, l’applicazione delle norme in materia di costitu-
zione dell’assemblea e di validità delle deliberazioni (artt. 1136 e ss. del c.c.). Poiché da dette
norme discende la necessità dell’esatta individuazione dei nominativi dei soggetti legittimati ad
intervenire all’assemblea, in quanto essa rappresenta elemento indispensabile ai fini della rego-
lare convocazione della stessa e per la verifica della validità delle relative deliberazioni, la docu-
mentazione a tal fine acquisita da parte dell’amministratore può essere messa a disposizione dei
condòmini che ne facciano richiesta, fermo restando che, secondo i principi di pertinenza e non
eccedenza sanciti dall’art. 9 della legge n. 675/1996, possono essere sottoposti ad esame i soli
elementi realmente idonei ad individuare la titolarità dei soggetti legittimati alla partecipazione
alle assemblee.
• Garante 19 maggio 2000, in Bollettino n. 13, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 42268)
Premesso che la normativa in materia di protezione dei dati personali posta dalla legge
n. 675/1996 non ha abrogato ma, anzi, ha confermato (art. 43, comma 2) le disposizioni contenute
nella legge n. 135/1990 in materia di A.I.D.S., va rilevato che il d.lg. 135/1999 sul trattamento di dati
sensibili effettuato da soggetti pubblici considera di rilevante interesse pubblico il trattamento dei
dati strettamente necessario allo svolgimento delle funzioni di controllo, di indirizzo politico e di
sindacato ispettivo atte a consentire l’espletamento di un mandato elettivo, quale quello dei con-
siglieri comunali. Peraltro, il diritto di accesso ai dati da parte dei predetti incontra un limite nel
rispetto dei principi di pertinenza, essenzialità e compatibilità con la funzione perseguita, ribaditi,
anche in materia di dati sensibili, dagli artt. 1 - 5 del citato d.lg..
• Garante 8 febbraio 2001, in Bollettino n. 17, pag. 5 (v. anche www.garanteprivacy.it: doc. n. 49240)
Costituisce illegittimo trattamento dei dati personali, anche di natura sensibile, la comuni-
cazione, da parte del datore di lavoro, indistintamente ai singoli medici che hanno rilasciato
alcuni certificati giustificativi di varie assenze per malattia di una dipendente, nonché all’Ordine
provinciale dei medici e ad una A.S.L., di dati della dipendente e della di lei figlia minore, atti-
nenti alle ragioni delle singole assenze – non tutte per malattia – e alla consecutività dei relativi
periodi di mancata prestazione lavorativa. Con tale comportamento vengono violati i principi di
pertinenza e non eccedenza fissati dall’art. 9 della legge n. 675/1996, nonché le tutele specifi-
camente apprestate a garanzia del trattamento dei dati sensibili – nella specie, attinenti allo
stato di salute – dall’art. 22 della legge.
• Garante 24 settembre 2001, in Bollettino n. 22, pag. 48 (v. anche www.garanteprivacy.it: doc. n. 39460)
Non viola i principi di pertinenza e non eccedenza fissati dall’art. 9 della legge n. 675/1996
il datore di lavoro che comunica all’I.n.p.s. i dati del dipendente assente anche per un solo
giorno, al fine del controllo sullo stato di malattia, in considerazione della normativa di legge e
di quella contrattuale di settore che prevedono la possibilità di controlli e visite fiscali fin dal
primo giorno di assenza.
• Garante 28 settembre 2001, in Bollettino n. 22, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 41103)
Viola i principi di pertinenza e non eccedenza nella diffusione dei dati personali, fissati dal-
l’art. 9 della legge n. 675/1996, l’esposizione nella bacheca condominiale, posta in luogo acces-
sibile anche ad estranei al condominio, dell’ordine del giorno di una assemblea che riporti anche
la situazione debitoria di singoli condòmini. Ai sensi degli artt. 13 e 29 della legge, quindi, il con-
domino interessato può agire per ottenere la rimozione dalla bacheca dei dati relativi alla pro-
pria morosità.
• Garante 12 dicembre 2001, in Bollettino n. 23, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 31007)
Nella carenza di una base normativa idonea ad operare adeguati bilanciamenti tra i con-
trapposti interessi, l’installazione di sistemi di rilevazione biometrica presso gli sportelli bancari,
Liceità e correttezza
I dati personali concernenti le classi stipendiali, le indennità e gli altri emolumenti corri-
sposti ad amministratori e lavoratori dipendenti ed autonomi da concessionari di pubblici ser-
vizi sono da ritenersi conoscibili da parte di chiunque vi abbia interesse attraverso la lettura
degli atti parlamentari (es.: risposte fornite a interrogazioni e interpellanze parlamentari), l’e-
same dei contratti collettivi, l’accesso ai documenti amministrativi (legge n. 241/1990) e, in
sede di esercizio del diritto di cronaca, da parte degli esercenti la professione giornalistica.
Rimane ferma la necessità che tali dati siano esatti, completi ed acquisiti correttamente (art. 9
della legge n. 675/1996), e che siano invece mantenuti riservati quelli relativi a circostanze per-
Non contrasta con i principi di liceità e correttezza nel trattamento dei dati personali posti
dall’art. 9 della legge n. 675/1996 l’acquisizione da parte di un’amministrazione comunale della
copia di una sentenza penale emessa nei confronti dell’interessato, dipendente del comune, al
fine di utilizzarne i dati esclusivamente per motivi inerenti allo svolgimento del procedimento
disciplinare instaurato nei confronti dello stesso dipendente.
• Garante 12 luglio 1999, in Bollettino n. 9, pag. 51 (v. anche www.garanteprivacy.it: doc. n. 39660)
Il d.lg. n. 135/1999, recante disposizioni integrative della legge n. 675/1996, circa il tratta-
mento dei dati sensibili da parte dei soggetti pubblici prevede che gli organismi sanitari che trat-
tano dati idonei a rivelare lo stato di salute rispettino i principi di correttezza e di pertinenza san-
citi dall’art. 9 della legge n. 675/1996, adottando specifiche cautele a tutela della riservatezza
degli interessati; tra queste, particolarmente significativa è quella secondo cui i dati anagrafici
devono essere conservati separatamente da quelli sanitari che, se contenuti in elenchi, registri
o banche dati, ai sensi dell’art. 3, commi 4 e 5, d.lg. n. 135/1999 devono essere trattati con tec-
niche di cifratura, mediante l’utilizzazione di codici identificativi o di altri sistemi che permettano
di risalire agli interessati solo in caso di necessità.
• Garante 16 febbraio 2000, in Bollettino n. 11/12, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 30907)
Benché le norme processuali non siano state ancora rivisitate in dettaglio per essere inte-
grate e modificate alla luce dei nuovi principi in materia di trattamento dei dati personali, la
legge n. 675/1996 ha comunque reso immediatamente applicabili all’attività svolta “per ragioni
di giustizia” presso gli uffici giudiziari alcuni obblighi sulle modalità e sulla sicurezza del tratta-
mento, tra cui quelli di correttezza e di pertinenza sanciti dall’art. 9 e quelli sulle misure di sicu-
rezza fissati dal d.P.R. n. 318/1999.
• Garante 21 febbraio 2000, in Bollettino n. 11/12, pag. 9 (v. anche www.garanteprivacy.it: doc. n. 40237)
Fuori dei casi di operazioni di comunicazione connesse a prestazioni richieste, a servizi ero-
gati o all’adempimento di obblighi normativi posti in favore di soggetti pubblici, gli istituti di cre-
dito ed il relativo personale devono mantenere il riserbo sulle informazioni relative ai propri clienti,
astenendosi dalla divulgazione a terzi. Inoltre, secondo la legge n. 675/1996, il titolare del tratta-
mento, ai fini del corretto esercizio della facoltà di cui all’art. 20, comma 1, lett. g) della legge, oltre
• Informativa
• Consenso
• Notificazione
Profili generali
L’informativa scritta resa dal titolare del trattamento (nella specie, un istituto di credito)
deve recare una chiara distinzione tra l’ipotesi di raccolta dei dati presso l’interessato (art. 10,
comma 1 della legge n. 675/1996) e quella in cui i dati siano raccolti presso terzi (art. 10,
comma 3 della legge stessa).
• Garante 28 maggio 1997, in Bollettino n. 1, pag. 17 (v. anche www.garanteprivacy.it: doc. n. 40425)
Ai sensi dell’art. 12, comma 1, lett. b) della legge n. 675/1996, gli studi professionali
degli agenti di cambio non sono tenuti a richiedere ai propri clienti il consenso per l’uso pro-
fessionale dei dati personali, trattandosi di trattamento necessario per l’esecuzione di obbli-
ghi derivanti da un contratto di cui, peraltro, sono parte gli stessi interessati. Qualora, invece,
detto trattamento si concretizzi in una comunicazione o in una diffusione a terzi dei dati per-
sonali, l’acquisizione del consenso dell’interessato è dovuta, sempre che non ricorrano i pre-
supposti di cui all’art. 20, comma 1, lett. e) della legge n. 675/1996. In ogni caso permane l’ob-
bligo di rendere un’idonea informativa.
• Garante 22 luglio 1997, in Bollettino n. 1, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 39656)
Il titolare del trattamento deve informare l’interessato circa il fatto che i dati personali che
lo riguardano possono essere comunicati, in conformità della legge n. 675/1996, ad un terzo pre-
posto ad elaborazioni finalizzate all’adempimento degli obblighi contabili, fiscali, retributivi,
previdenziali ed assistenziali gravanti sul titolare stesso. Con tale informativa, il titolare deve
specificare se il terzo svolge le predette elaborazioni nella veste di responsabile del trattamento
(art. 8) oppure come autonomo titolare che effettua un distinto trattamento di dati (fattispecie
concernente centri elaborazione dati gestiti da società di consulenza informatica, professionisti,
associazioni ed altri organismi che elaborano per conto terzi dati inerenti a clienti, fornitori e
dipendenti, a fini di gestione amministrativa e contabile).
• Garante 26 novembre 1998, in Bollettino n. 6, pag. 81 (v. anche www.garanteprivacy.it: doc. n. 39624)
Il trattamento dei dati personali contenuti nei curricula vitae inviati spontaneamente dai
candidati all’instaurazione di rapporti di lavoro presuppone necessariamente che sia resa una
previa informativa, fatta eccezione dei soli elementi, fra quelli indicati nell’art. 10, comma 1 della
legge n. 675/1996, che siano già noti agli interessati (principio espresso in fattispecie concer-
nente i curricula inviati a società operanti nel settore del lavoro interinale disciplinato dalla legge
n. 196/1997). Ove i dati vengano raccolti telefonicamente, l’informativa può essere data anche
oralmente (e documentata per iscritto dall’addetto che la fornisce).
• Garante 24 dicembre 1998, in Bollettino n. 6, pag. 119 (v. anche www.garanteprivacy.it: doc. n. 40173)
Il trattamento di dati connesso all’acquisizione delle impronte digitali dei clienti di un cen-
tro sportivo privato non contrasta, di per sé, con la legge n. 675/1996, a condizione che agli inte-
ressati (ossia alle persone che si sono iscritte o che comunque accedono al centro) sia fornita,
anche oralmente, la prescritta informativa (art. 10) e sia richiesto, se necessario, il relativo con-
senso (artt. 11 e 12).
• Garante 19 novembre 1999, in Bollettino n. 10, pag. 68 (v. anche www.garanteprivacy.it: doc. n. 42058)
La ricezione del coupon compilato dall’interessato concreta un trattamento di dati che pre-
suppone che il titolare abbia già fornito al medesimo – prima che i dati siano concretamente rac-
colti e registrati, e a prescindere dalla loro ulteriore utilizzazione per le finalità previste – le infor-
mazioni indicate dall’art. 10 della legge n. 675/1996, che sono dovute in ogni caso, anche qua-
lora il consenso non sia per legge indispensabile; al riguardo, nessuna importanza assume il
fatto che il titolare rinunci o non proceda immediatamente alla registrazione dei dati in un
elenco, archivio o banca dati, né rilevano le modalità con cui il medesimo intenda trattare suc-
cessivamente i dati.
• Garante 13 gennaio 2000, in Bollettino n. 11/12, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 42276)
Non può ritenersi lecito che il titolare fornisca l’informativa allorché riceva il coupon, con-
tattando successivamente l’interessato; infatti, nei casi in cui sia quest’ultimo ad indicare diret-
tamente i dati che lo riguardano, la ratio dell’art. 10, comma 1, della legge n. 675/1996 è quella
di assicurare che egli sia informato prima di fornire i dati richiesti, al fine di poter manifestare un
consapevole consenso all’atto dell’eventuale compilazione del coupon.
• Garante 13 gennaio 2000, in Bollettino n. 11/12, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 42276)
Le società, imprese, enti, associazioni od altri organismi che procedano alla raccolta di dati
attraverso coupon ricavabili da giornali, depliant, lettere e annunci pubblicitari, ovvero mediante
questionari collegati a tessere di “fidelizzazione”, a ricerche di mercato, a lotterie, estrazioni di
premi od offerte di regali, debbono informare in modo adeguato gli interessati e acquisire il loro
consapevole consenso ove ciò sia necessario in base alla legge n. 675/1996 o ad altra disposi-
zione in materia.
• Garante 13 gennaio 2000, in Bollettino n. 11/12, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 42276)
Il consenso può ritenersi validamente prestato solo ove fondato su un’informativa ade-
guata, sicché i vizi attinenti alla mancanza, all’incompletezza o all’inesattezza dell’informativa si
riflettono inevitabilmente sulla validità della sua manifestazione.
• Garante 13 gennaio 2000, in Bollettino n. 11/12, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 42276)
I soggetti pubblici, ove operino nei limiti previsti dalle finalità istituzionali (art. 27 della
legge n. 675/1996), non devono richiedere l’autorizzazione o il consenso dei cittadini per il trat-
tamento dei dati personali che li riguardano, dovendo, piuttosto, informarli ai sensi dell’art. 10
della legge.
• Garante 5 dicembre 2000, in Bollettino n. 14/15, pag. 22 (v. anche www.garanteprivacy.it: doc. n. 40273)
Il giornalista che raccoglie dati personali presso una struttura sanitaria deve fornire una
adeguata informativa agli interessati, che tenga conto delle condizioni psicofisiche dei pazienti
(nella specie, soggetti anoressici) e della loro concreta capacità di esprimere una manifestazione
di volontà realmente consapevole degli effetti derivanti dalla diffusione dei dati e delle immagini
che li riguardano.
• Garante 20 giugno 2001, in Bollettino n. 21, pag. 4 (v. anche www.garanteprivacy.it: doc. n. 39512)
Informativa semplificata
Codice deontologico per l’attività giornalistica
Pubblicazioni occasionali
• V.: PRIVATI ED ENTI PUBBLICI ECONOMICI > SETTORI DI ATTIVITÀ > ATTIVITÀ GIORNALISTICA >
PUBBLICAZIONI OCCASIONALI > PROFILI GENERALI (P. 84)
Ai sensi dell’art. 10, comma 4 della legge n. 675/1996, la società che opera il trattamento
dei dati connesso ad operazioni di cartolarizzazione finalizzate all’acquisto in blocco di migliaia
di posizioni creditizie è autorizzata ad informare in forma semplificata i singoli interessati al trat-
tamento stesso. Tale informativa, secondo il Garante, deve avvenire non solo mediante la pub-
blicazione sulla Gazzetta Ufficiale prevista dall’art. 58 del d.lg. n. 385/1993 per la notifica della
cessione dei rapporti giuridici in blocco, ma anche attraverso la messa a disposizione degli inte-
ressati, presso ciascuna filiale, del testo dell’informativa, con l’adozione di opportune modalità
atte a garantirne un’agevole visibilità agli utenti; inoltre, ciascun estratto conto dovrà recare l’in-
dicazione della data di pubblicazione dell’informativa sulla Gazzetta Ufficiale.
• Garante 5 giugno 1999, inedito (v. anche www.garanteprivacy.it: doc. n. 42332)
Oggetto
Attività sportiva
Il consenso reso dall’atleta alla società sportiva di cui fa parte a trattare i dati sensibili che
lo riguardano, e a comunicare o diffondere quelli comuni, deve essere acquisito sulla base di un’i-
donea informativa, che renda chiare le circostanze indicate nell’art. 10 della legge n. 675/1996,
specie sulle finalità e modalità del trattamento, sull’ambito di diffusione dei dati e sui diritti spet-
tanti ai sensi dell’art. 13 della legge. Il mero inserimento dell’informativa nei c.d. regolamenti
federali non risulta idoneo a consentire all’interessato di rilevare con evidenza ed immediatezza
le informazioni essenziali sul trattamento dei dati, tale da permettergli di esprimere un consenso
libero e consapevole.
• Garante 22 giugno 1998, in Bollettino n. 5, pag. 46 (v. anche www.garanteprivacy.it: doc. n. 31035)
Istituti di credito
• V.: PRIVATI ED ENTI PUBBLICI ECONOMICI > SETTORI DI ATTIVITÀ > ISTITUTI DI CREDITO > PROFILI
GENERALI (P. 94)
La legge n. 675/1996 non ha introdotto alcun divieto nei confronti del c.d. “benefondi”
(consistente nell’accertamento, anche informale, attraverso il quale viene garantita l’esi-
stenza, presso una banca o una sede o filiale della stessa, della provvista corrispondente agli
assegni emessi). Il benefondi, infatti, è certamente riconducibile alle attività che la banca deve
descrivere, sia pure in termini generali, nei modelli di informativa e di acquisizione del con-
senso, che debbono comprendere le operazioni di comunicazione dei dati a terzi ed i tratta-
menti temporanei che questi ultimi sono tenuti ad effettuare per la corretta esecuzione dei
servizi richiesti.
• Garante 30 novembre 1998, in Bollettino n. 6, pag. 85 (v. anche www.garanteprivacy.it: doc. n. 39416)
Marketing
La legge n. 675/1996 non ha vietato la raccolta e l’utilizzazione dei dati personali per fina-
lità commerciali e di marketing; tali operazioni, però, ai sensi degli artt. 12 e 20 della legge,
richiedono la previa informativa agli interessati nonché, eccettuati alcuni casi, l’acquisizione del
relativo consenso (fattispecie relativa all’invio alla clientela da parte di una società che gestisce
carte di credito a pagamento, insieme all’estratto conto, anche di materiale pubblicitario relativo
a servizi offerti dalla società o da terzi).
• Garante 19 dicembre 1998, in Bollettino n. 6, pag. 25 (v. anche www.garanteprivacy.it: doc. n. 39180)
Pubblicazioni scientifiche
Pubblicità telefonica
• V.: TELECOMUNICAZIONI E RETI TELEMATICHE > CASI PARTICOLARI > PUBBLICITÀ TELEFONICA (P. 192)
Propaganda elettorale
L’uso, a fini di propaganda elettorale, dei dati degli iscritti ad un’associazione deve essere
previsto espressamente nello statuto dell’associazione stessa o in una chiara informativa resa
agli interessati, formulata secondo le prescrizioni contenute nell’art. 10 della legge n. 675/1996,
onde permettere loro una consapevole manifestazione di volontà diretta a consentire, o meno,
tale trattamento (fattispecie nella quale il Garante ha segnalato all’associazione la necessità di
astenersi, in difetto delle menzionate condizioni, dal comunicare i dati degli associati ad un can-
didato ad una consultazione elettorale al fine di sostenerne la candidatura).
• Garante 9 ottobre 2000, in Bollettino n. 14/15, pag. 17 (v. anche www.garanteprivacy.it: doc. n. 39937)
Questionari R.a.i.
La R.a.i., nel formulare il questionario con il quale raccoglie presso gli utenti dati di natura
personale al fine della gestione e riscossione del canone radiotelevisivo, deve formulare il testo
dell’informativa resa ai sensi dell’art. 10 della legge n. 675/1996 in modo da specificare che la
compilazione del questionario, che non è obbligatoria, facilita l’identificazione dell’abbona-
mento di riferimento e può rendere superflue ulteriori verifiche circa l’effettiva posizione dell’u-
tente, mentre la comunicazione dei dati alla Guardia di Finanza ed i conseguenti controlli sono
solo eventuali.
• Garante 13 dicembre 2000, in Bollettino n. 19, pag. 23 (v. anche www.garanteprivacy.it: doc. n. 42018)
Rilevazioni biometriche
• V.: PRIVATI ED ENTI PUBBLICI ECONOMICI > SETTORI DI ATTIVITÀ > BIOMETRIA (P. 92)
La Siteba - Sistemi telematici bancari s.p.a. svolge un’attività di supporto tecnico in favore
degli istituti bancari e degli enti emittenti carte di credito che attivano terminali presso gli esercizi
commerciali al dettaglio (di regola, di tipo E.F.T./P.O.S. stand-alone) o della c.d. grande distribu-
zione (di solito concentrati su server); tale servizio, che è reso presso i punti vendita, è finalizzato
all’accettazione delle carte di pagamento da parte dei terminali E.F.T./P.O.S. e si esplica nell’ap-
prontamento, in favore delle banche e degli istituti emittenti, di servizi di installazione, manuten-
zione e gestione dei terminali, nonché di ulteriori attività propedeutiche o complementari (quali,
ad esempio, le richieste di codici identificativi degli esercenti o di attivazione dei terminali con le
banche acquirers delle carte di credito; i rapporti con i fornitori di rete di telecomunicazione per
l’eventuale concessione di terminazioni speciali). Poiché detta complessiva attività è strumentale
all’ulteriore rapporto tra esercenti il commercio e banche/enti emittenti deve ritenersi che le
scelte di fondo sulle finalità e sulle modalità del trattamento spettino a questi ultimi (che rive-
stono la qualità di titolari del complessivo trattamento dei dati), sicché, avuto riguardo alle con-
crete modalità di gestione del rapporto, è logico interpretare il ruolo della Siteba come quello di
una società titolare di un trattamento correlato ed autonomo, limitatamente al centro di assi-
stenza telefonica, esterna alla banca committente del servizio di installazione. Ne consegue l’op-
portunità che la banca committente, in sede di informativa agli esercenti, indichi anche la Siteba
tra i soggetti utilizzati per gli adempimenti contrattuali connessi al servizio di pagamento remoto.
• Garante 23 marzo 1998, in Bollettino n. 4, pag. 60 (v. anche www.garanteprivacy.it: doc. n. 40999)
Esonero
In genere
Il titolare può essere esonerato dal Garante dal fornire l’informativa per i dati raccolti
presso soggetti diversi dall’interessato (art. 10, comma 3 della legge n. 675/1996), quando la
stessa comporta un impiego di mezzi che il Garante dichiari essere manifestamente spropor-
zionati rispetto al diritto dell’interessato di conoscere le principali caratteristiche del tratta-
mento, ovvero quando l’informativa si rivela, a giudizio dell’Autorità, “impossibile” (art. 10,
comma 4). I suddetti profili, per la cui dimostrazione spetta al titolare fornire specifiche moti-
I.s.v.a.p.
Ai sensi dell’art. 10, commi 3 e 4 della legge n. 675/1996, l’I.s.v.a.p. deve ritenersi eso-
nerato dall’obbligo d’informativa per procedere al trattamento dei dati personali contenuti
nelle segnalazioni spontaneamente inviate dagli interessati, trattandosi di dati non raccolti
presso i predetti ed acquisiti nell’esercizio del generale potere di vigilanza sulle imprese assi-
curatrici attribuito dall’art. 4 della legge n. 576/1982 all’Istituto. Analogamente, non sussiste
obbligo d’informativa sia nel caso in cui i dati personali siano ottenuti nel corso di ispezioni e
verifiche ed attengano a soggetti diversi da quelli oggetto d’accertamento, sia allorché detti
dati, afferenti ai requisiti di professionalità ed onorabilità degli esponenti aziendali e degli
azionisti, siano comunicati all’I.s.v.a.p. dalle imprese soggette a controllo secondo le previ-
sioni di legge.
• Garante 10 febbraio 1998, in Bollettino n. 3, pag. 46 (v. anche www.garanteprivacy.it: doc. n. 40931)
Consultazioni elettorali
In occasione delle consultazioni elettorali vengono impiegate notevoli quantità di dati per-
sonali, estratti da registri pubblici, elenchi o atti conoscibili da chiunque, che vengono utilizzati
per l’invio di comunicazioni politiche a scopo di propaganda elettorale. Considerata la rilevanza
di tali iniziative al fine della partecipazione democratica alle consultazioni, ed attesa la manife-
sta sproporzione tra l’impiego di mezzi necessari per l’invio a tutti gli interessati delle informa-
tive previste dall’art. 10, comma 3, della legge n. 675/1996 e il diritto tutelato dalla norma, par-
titi e movimenti politici e ogni altro soggetto che effettui in occasione delle consultazioni eletto-
rali i predetti trattamenti di dati, ai sensi del comma 4 del citato art. 10, possono essere esone-
rati, in via temporanea, dall’invio dell’informativa ai destinatari delle comunicazioni di propa-
ganda politica, purché gli interessati non vengano direttamente contattati dall’utilizzatore dei
dati e limitatamente al materiale di propaganda che non permetta l’inserimento dell’informativa
(con esclusione, quindi, di lettere articolate o messaggi di posta elettronica, nei quali l’informa-
tiva deve essere contenuta nelle stesse comunicazioni).
• Garante 7 febbraio 2001, in Bollettino n. 17, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 40967)
Profili generali
Ai sensi dell’art. 9 della legge n. 675/1996, ove il consenso richiesto per il trattamento dei
dati personali dell’interessato risulti riferibile anche ad attività diverse da quelle relative al rap-
porto contrattuale in essere tra le parti (nel caso di specie, un contratto bancario), nella formula
di consenso preventivamente predisposta dal titolare del trattamento debbono essere evitate
indicazioni di tipo generico sui trattamenti praticabili, affinché possa essere garantita all’inte-
ressato la possibilità di conoscere la reale portata del consenso eventualmente manifestato.
• Garante 28 maggio 1997, in Bollettino n. 1, pag. 17 (v. anche www.garanteprivacy.it: doc. n. 40425)
L’informativa scritta resa dagli istituti di credito alla clientela deve recare una chiara distin-
zione tra i casi in cui i dati debbono essere forniti dai singoli interessati in base ad un obbligo di
legge (es.: normativa sul riciclaggio del denaro sporco), quelli in cui le informazioni acquisite sono
strettamente funzionali all’esecuzione del rapporto contrattuale (per le quali, peraltro, ai sensi
dell’art. 12, comma 1, lett. b) e dell’art. 20, comma 1, lett e) della legge n. 675/1996 il consenso
dell’interessato non è indispensabile) e quelli che si riferiscono allo svolgimento di ulteriori atti-
vità da parte dell’istituto di credito (subordinate ad uno specifico consenso dell’interessato).
• Garante 28 maggio 1997, in Bollettino n. 1, pag. 17 (v. anche www.garanteprivacy.it: doc. n. 40425)
Alla luce dei criteri generali dettati in sede europea e recepiti dall’ordinamento interno (es.:
artt. 1469 bis e ss. del codice civile, attuativi della Direttiva CEE n. 93/13), il consenso dell’inte-
ressato al trattamento dei propri dati personali può essere ritenuto effettivamente libero sol-
tanto ove costituisca manifestazione del diritto all’autodeterminazione informata e qualora non
risulti condizionato all’accettazione di clausole negoziali comportanti un significativo squilibrio
dei diritti e degli obblighi reciprocamente nascenti dal contratto. Ne deriva che la richiesta ulti-
mativa di un consenso generale ed incondizionato al trattamento dei dati personali, formulata da
un soggetto in posizione di netta preminenza economica ed accompagnata dall’esplicita previ-
sione di una possibile risoluzione dei rapporti contrattuali in essere tra le parti, si risolve in una
violazione della libertà negoziale dell’altro contraente, cui risulta sostanzialmente precluso l’e-
sercizio dei diritti fondamentali di cui all’art. 1 della legge n. 675/1996.
• Garante 28 maggio 1997, in Bollettino n. 1, pag. 17 (v. anche www.garanteprivacy.it: doc. n. 40425)
Il consenso deve essere manifestato in forma specifica, vale e dire in relazione a tratta-
menti determinati, effettuati da uno o più titolari nominativamente individuati.
• Garante 21 ottobre 1997, in Bollettino n. 2, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40855)
I contratti collettivi di lavoro, stante la persistente mancata attuazione della disciplina sul-
l’organizzazione sindacale prevista dall’art. 39 della Costituzione, hanno natura di contratti di
diritto privato, sicché, ai fini dell’applicazione dei principi della legge n. 675/1996 sul tratta-
mento dei dati personali, non possono essere considerati alla stregua di vere e proprie disposi-
I soggetti pubblici, a differenza dei soggetti privati e degli enti pubblici economici, non
devono acquisire il consenso scritto degli interessati per poter trattare i dati sensibili, in quanto
per essi le garanzie in favore degli interessati debbono essere basate non sul consenso ma su
una puntuale disposizione di legge che specifichi i tipi dei dati che possono essere trattati, le
operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite.
• Garante 27 maggio 1998, in Bollettino n. 4, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40691)
Ai sensi dell’art. 22 della legge n. 675/1996, il trattamento dei dati sensibili da parte di pri-
vati o di enti pubblici economici può avvenire soltanto con il consenso scritto e l’autorizzazione
del Garante (art. 22, comma 1), mentre qualora ad effettuare detto trattamento siano dei soggetti
pubblici è sufficiente l’esistenza di una puntuale disposizione di legge che specifichi i dati che
possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico per-
seguite (art. 22, comma 3); ne consegue che l’A.V.I.S., quale soggetto privato, ai fini del tratta-
mento dei dati idonei a rivelare lo stato di salute rilevabili dalle schede relative ai donatori di san-
gue, è tenuta ad acquisire – previa informativa ai sensi dell’art. 10 della legge – il consenso
scritto di ciascun interessato e la preventiva autorizzazione del Garante, peraltro già rilasciata
con apposito provvedimento generale.
• Garante 29 maggio 1998, in Bollettino n. 4, pag. 22 (v. anche www.garanteprivacy.it: doc. n. 30847)
Ai sensi dell’art. 22 della legge n. 675/1996, il trattamento dei dati sensibili da parte di pri-
vati o di enti pubblici economici può avvenire soltanto con il consenso scritto e l’autorizzazione
del Garante (art. 22, comma 1), mentre qualora ad effettuare detto trattamento siano dei soggetti
pubblici è sufficiente l’esistenza di una puntuale disposizione di legge che specifichi i dati che
possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico per-
seguite (art. 22, comma 3); ne consegue che le Ferrovie dello Stato s.p.a., quale soggetto privato,
ai fini del trattamento dei dati idonei a rivelare lo stato di salute rilevabili da parte del servizio
sanitario interno, sono tenute ad acquisire – previa informativa ai sensi dell’art. 10 della legge –
il consenso scritto di ciascun interessato (sia esso un dipendente della società oppure un terzo)
e la preventiva autorizzazione del Garante (ove il trattamento non rientri nelle ipotesi già consi-
derate dalle autorizzazioni generali per il trattamento dei dati sensibili nei rapporti di lavoro e
per il trattamento dei dati idonei a rivelare lo stato di salute).
• Garante 29 maggio 1998, in Bollettino n. 4, pag. 23 (v. anche www.garanteprivacy.it: doc. n. 39260)
Le aziende speciali istituite ai sensi dell’art. 23 della legge n. 142/1990, avendo natura giu-
ridica di enti pubblici economici, sono soggette alla disciplina che la legge n. 675/1996 prevede
per i soggetti privati, che consente la comunicazione dei dati personali solo in presenza del con-
senso dell’interessato o di uno dei presupposti, ad esso equipollenti, indicati dall’art. 20, comma
1, lett. c) e g) (fattispecie relativa alla comunicazione al proprietario di un immobile dei dati
riguardanti l’intestatario delle utenze ad esso relative).
• Garante 26 ottobre 1998, in Bollettino n. 6, pag. 126 (v. anche www.garanteprivacy.it: doc. n. 39500)
La legge n. 675/1996 non ha introdotto alcun divieto nei confronti del c.d. “benefondi”
(consistente nell’accertamento, anche informale, attraverso il quale viene garantita l’esi-
stenza, presso una banca o una sede o filiale della stessa, della provvista corrispondente agli
assegni emessi). Il benefondi, infatti, è certamente riconducibile alle attività che la banca deve
descrivere, sia pure in termini generali, nei modelli di informativa e di acquisizione del con-
senso, che debbono comprendere le operazioni di comunicazione dei dati a terzi ed i tratta-
menti temporanei che questi ultimi sono tenuti ad effettuare per la corretta esecuzione dei ser-
vizi richiesti.
• Garante 30 novembre 1998, in Bollettino n. 6, pag. 85 (v. anche www.garanteprivacy.it: doc. n. 39416)
La legge n. 675/1996 non ha vietato la raccolta e l’utilizzazione dei dati personali per fina-
lità commerciali e di marketing; tali operazioni, però, ai sensi degli artt. 12 e 20 della legge,
richiedono la previa informativa agli interessati nonché, eccettuati alcuni casi, l’acquisizione del
relativo consenso (fattispecie relativa all’invio alla clientela da parte di una società che gestisce
carte di credito a pagamento, insieme all’estratto conto, anche di materiale pubblicitario relativo
a servizi offerti dalla società o da terzi).
• Garante 19 dicembre 1998, in Bollettino n. 6, pag. 25 (v. anche www.garanteprivacy.it: doc. n. 39180)
L’art. 11 della legge n. 675/1996 prevede che il consenso al trattamento dei dati
“comuni” possa intendersi validamente prestato dall’interessato solo se espresso libera-
mente, in forma specifica (nel senso che deve riguardare un preciso genere di trattamento
effettuato a cura di un ben individuato titolare) e documentato per iscritto, oltre che preceduto
La disciplina prevista per i trattamenti dei dati da parte dei soggetti pubblici (artt. 27 e 22,
comma 3 della legge n. 675/1996) non ha alcun collegamento con la disposizione recante i casi
di esclusione del consenso di cui all’art. 12, che si applica all’attività di privati e di enti pubblici
economici.
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 78 (v. anche www.garanteprivacy.it: doc. n. 39268)
Nel corso dell’istruttoria di una pratica di finanziamento debbono essere tenuti distinti i
trattamenti, ivi compresa la comunicazione dei dati, strettamente necessari per la gestione delle
operazioni e dei servizi richiesti dal cliente, in ordine ai quali si rende necessario il consenso al
conferimento dei dati al fine di permettere la stessa operatività dei rapporti tra le parti, dalle
eventuali ulteriori utilizzazioni dei dati stessi, per finalità – commerciali, statistiche, ecc. – in rela-
zione alle quali, in quanto non strettamente collegate a dette operazioni e servizi, deve essere
garantita l’assoluta libertà di esprimere il consenso.
• Garante 16 giugno 1999, in Bollettino n. 9, pag. 32 (v. anche www.garanteprivacy.it: doc. n. 40895)
Il trattamento di dati connesso all’acquisizione delle impronte digitali dei clienti di un cen-
tro sportivo privato non contrasta, di per sé, con la legge n. 675/1996, a condizione che agli inte-
ressati (ossia alle persone che si sono iscritte o che comunque accedono al centro) sia fornita,
anche oralmente, la prescritta informativa (art. 10) e sia richiesto, se necessario, il relativo con-
senso (artt. 11 e 12).
• Garante 19 novembre 1999, in Bollettino n. 10, pag. 68 (v. anche www.garanteprivacy.it: doc. n. 42058)
Gli estremi identificativi delle utenze telefoniche intestate ai singoli condòmini o ai loro
familiari non possono essere annoverati tra quelli oggetto di necessaria ed obbligatoria comuni-
cazione all’interno del condominio, in quanto non rappresentano elementi utili a determinare i
diritti o gli oneri sulla cosa comune, ne è rinvenibile alcun obbligo di legge in tal senso. Resta,
peraltro, ferma la possibilità per l’amministratore di condominio di comunicare i numeri di tele-
fono ai condòmini richiedenti, con il consenso degli interessati (art. 11 della legge n. 675/1996).
• Garante 19 maggio 2000, in Bollettino n. 13, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 42268)
L’uso, a fini di propaganda elettorale, dei dati degli iscritti ad un’associazione deve essere
previsto espressamente nello statuto dell’associazione stessa o in una chiara informativa resa
agli interessati, formulata secondo le prescrizioni contenute nell’art. 10 della legge n. 675/196,
onde permettere loro una consapevole manifestazione di volontà diretta a consentire, o meno,
tale trattamento (fattispecie nella quale il Garante ha segnalato all’associazione la necessità di
astenersi, in difetto delle menzionate condizioni, dal comunicare i dati degli associati ad un can-
didato ad una consultazione elettorale al fine di sostenerne la candidatura).
• Garante 9 ottobre 2000, in Bollettino n. 14/15, pag. 17 (v. anche www.garanteprivacy.it: doc. n. 39937)
Il giornalista che raccoglie dati personali presso una struttura sanitaria deve fornire una
adeguata informativa agli interessati, che tenga conto delle condizioni psicofisiche dei pazienti
(nella specie, soggetti anoressici) e della loro concreta capacità di esprimere una manifestazione
di volontà realmente consapevole degli effetti derivanti dalla diffusione dei dati e delle immagini
che li riguardano.
• Garante 20 giugno 2001, in Bollettino n. 21, pag. 4 (v. anche www.garanteprivacy.it: doc. n. 39512)
Le banche, l’Ente Poste Italiane (ora Poste italiane s.p.a., N.d.R.) e gli altri intermediari
incaricati della trasmissione al Ministero delle finanze delle dichiarazioni fiscali e contributive,
non sono tenuti, a tale fine, a richiedere il consenso degli interessati, trattandosi dell’adempi-
mento di un obbligo di legge (art. 20, comma 1, lett. c) della legge n. 675/1996).
• Garante 29 dicembre 1997, in Bollettino n. 2, pag. 64 (v. anche www.garanteprivacy.it: doc. n. 39057)
Le aziende speciali esercenti servizi pubblici, quali enti strumentali del Comune per la
gestione dei servizi dell’ente locale (art. 23, comma 6 della legge n. 142/1990), essendo assog-
gettate, in quanto enti pubblici economici, al regime che la legge n. 675/1996 prevede per i sog-
getti privati che trattano dati personali, sono tenute all’osservanza, fra l’altro, della disposizione
dell’art. 20, comma 1, lett. c), che esime tali soggetti dall’obbligo di richiedere il consenso del-
l’interessato nel caso in cui il trattamento sia effettuato per adempiere ad una disposizione con-
tenuta in una legge, in una norma comunitaria o in un regolamento. Si configura, quindi, come
obbligo di tali aziende quello di comunicare ai consiglieri comunali i dati che questi richiedano,
al fine dell’espletamento del loro mandato, nell’esercizio del generale diritto di accesso, loro
conferito dall’art. 31, comma 5 della legge n. 142/1990, ai dati contenuti negli archivi del
Comune e delle aziende ed enti da questo dipendenti (fattispecie relativa alla richiesta di un
consigliere comunale di conoscere i nominativi dei dipendenti dell’azienda preposti alle sedi
territoriali della stessa).
• Garante 10 giugno 1998, in Bollettino n. 5, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 39348)
In linea di principio, le disposizioni della legge n. 675/1996 non incidono, né pongono osta-
coli nei confronti di precise disposizioni normative in base alle quali deve essere effettuata una
comunicazione di dati personali. Ne consegue che quando una norma di legge o di regolamento
prevede l’obbligo per un gestore del servizio telefonico di rendere disponibili, nei confronti del-
l’amministrazione vigilante, talune informazioni sugli abbonati, ai fini del controllo sul corretto
esercizio della concessione, la comunicazione dei dati è ammessa anche senza il consenso degli
abbonati interessati, in conformità alla condizione individuata dall’art. 20, comma 1, lett. c),
della legge.
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 107 (v. anche www.garanteprivacy.it: doc. n. 30851)
Ai sensi dell’art. 20, comma 1, lett. c), della legge n. 675/1996, la comunicazione dei dati
relativi all’indebitamento della clientela effettuata dagli intermediari finanziari alla Centrale
Agenti di cambio
Ai sensi dell’art. 12, comma 1, lett. b) della legge n. 675/1996, gli studi professionali degli
agenti di cambio non sono tenuti a richiedere ai propri clienti il consenso per l’uso professio-
nale dei dati personali, trattandosi di trattamento necessario per l’esecuzione di obblighi deri-
vanti da un contratto di cui, peraltro, sono parte gli stessi interessati. Qualora, invece, detto
trattamento si concretizzi in una comunicazione o in una diffusione a terzi dei dati personali,
l’acquisizione del consenso dell’interessato è dovuta, sempre che non ricorrano i presupposti
di cui all’art. 20, comma 1, lett. e) della legge n. 675/1996. In ogni caso permane l’obbligo di
rendere un’idonea informativa.
• Garante 22 luglio 1997, in Bollettino n. 1, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 39656)
Appalti pubblici
La normativa sugli appalti pubblici (d.lg. n. 157/1985 per gli appalti di beni e servizi;
d.lg. n. 358/1992 per gli appalti di forniture e lavori) attribuisce alle amministrazioni la facoltà
di richiedere alle imprese concorrenti di dimostrare le proprie capacità tecniche mediante la
produzione di un elenco dei principali servizi e forniture effettuati negli ultimi tre anni d’attività,
con l’indicazione degli importi, delle date e dei destinatari delle prestazioni. Analogamente, le
imprese partecipanti possono comunicare tali dati alle amministrazioni richiedenti, nel rispetto
della vigente normativa in materia di segreto aziendale ed industriale, laddove vengano in con-
siderazione dati relativi allo svolgimento di attività economiche (artt. 12, comma 1, lett. f ) ed
art. 20, comma 1, lett. e) della legge n. 675/1996); ne consegue che le imprese concorrenti, ai
fini in questione, non sono tenute ad acquisire il consenso degli interessati (cui dev’essere for-
nita soltanto l’informativa di cui all’art. 10), mentre le amministrazioni appaltanti sono tenute
a rispettare le disposizioni che, anche al di fuori della legge n. 675/1996 e della disciplina
sugli appalti, tutelano i diritti delle società offerenti e che prescrivono, tra l’altro, non solo di
chiedere le informazioni non eccedenti l’oggetto dell’appalto (ad esempio: necessità effettiva
di acquisire copie di fatture in luogo di altra documentazione equipollente), ma anche di
tenere in debita considerazione “gli interessi legittimi del concorrente relativi alla protezione
di interessi tecnici e commerciali” (art. 14, comma 3, d.lg. n. 358/1992; art. 14, comma 3, d.lg.
n. 157/1995).
• Garante 16 febbraio 1999, in Bollettino n. 7, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 42320)
Ai sensi degli artt. 12, comma 1, lett. a) e 20, comma 1, lett. c), della legge n. 675/1996, non
è necessario acquisire il preventivo consenso dell’interessato per le operazioni di trattamento
dei dati effettuate dagli istituti di credito in adempimento di obblighi derivanti da norme di legge
o di regolamento, tra cui quelle previste dal T.U. delle leggi in materia bancaria e finanziaria; in
particolare, ai sensi degli artt. 53, comma 1, lett. b), 67, comma 1, lett. b) e 107, comma 2, della
legge n. 385/1993, tutte le banche sono tenute a segnalare al servizio di centralizzazione dei
rischi creditizi gestito dalla Banca d’Italia i crediti di un certo importo o comunque in sofferenza
(in conformità alle deliberazioni del C.I.C.R. e alle disposizioni impartite dalla Banca d’Italia nel-
l’ambito dei suoi poteri di vigilanza regolamentare), indipendentemente dall’esistenza di even-
tuali vincoli derivanti, per l’istituto segnalante e per i relativi dipendenti, da pregressi obblighi
contrattuali o relativi al segreto bancario.
• Garante 25 febbraio 2000, in Bollettino n. 11/12, pag. 31 (v. anche www.garanteprivacy.it: doc. n. 39248)
Ai sensi degli artt. 12, comma 1, lett. f) e 20, comma 1, lett. e), della legge n. 675/1996, le infor-
mazioni relative alla solvibilità o allo stato di insolvenza di un’impresa (oppure ai crediti o ai debiti
ad essa riferiti) rientrano nella nozione di dati relativi allo svolgimento di attività economiche, la cui
utilizzazione e divulgazione a terzi può avvenire anche senza il consenso dell’interessato.
• Garante 26 febbraio 2000, in Bollettino n. 11/12, pag. 31 (v. anche www.garanteprivacy.it: doc. n. 39248)
• Garante 2 marzo 2000, in Bollettino n. 11/12, pag. 28 (v. anche www.garanteprivacy.it: doc. n. 40699)
Il d.lg. 24 luglio 1992, n. 358, recante il “Testo Unico delle disposizioni in materia di appalti
pubblici di forniture”, prevede che le imprese partecipanti alle gare d’appalto possano compro-
vare i propri requisiti tecnici anche attraverso la produzione di appositi documenti, tra cui l’e-
lenco attestante le principali forniture effettuate negli ultimi tre anni, corredato dall’indicazione
degli importi corrispondenti, della data e del destinatario della fornitura. Ne consegue che, qua-
lora dalla suddetta documentazione emergano informazioni afferenti a distinte società con cui in
precedenza l’attuale concorrente abbia instaurato rapporti negoziali, la connessa comunicazione
di dati non solo è conforme alle specifiche disposizioni del d.lg. n. 358/1992, ma è comunque
rispettosa dei principi di cui alla legge n. 675/1996, trattandosi di dati relativi allo svolgimento
di attività economiche del titolare del trattamento che, ai sensi dell’art. 20, comma 1, lett. e), non
sono soggetti alla preventiva acquisizione del consenso dell’interessato.
• Garante 27 giugno 2001, in Bollettino n. 21, pag. 6 (v. anche www.garanteprivacy.it: doc. n. 40667)
Attività giornalistica
• V.: PRIVATI ED ENTI PUBBLICI ECONOMICI > SETTORI DI ATTIVITÀ > ATTIVITÀ GIORNALISTICA (P. 81)
Diritto di difesa
Ai sensi degli artt. 12, comma 1, lett. a) e 20, comma 1, lett. c) della legge n. 675/1996,
le operazioni di trattamento dei dati personali comuni necessarie per lo svolgimento delle
attività d’indennizzo espletate dal Fondo nazionale di garanzia nel settore dei valori mobi-
liari, non necessitano della preventiva acquisizione del consenso degli intermediari aderenti
al Fondo e degli investitori (creditori) interessati, trattandosi di attività riconducibile ai casi
di esclusione del consenso che la legge n. 675/1996 prevede in riferimento all’adempimento
di obblighi di legge o di regolamento (nel caso di specie i decreti del Ministero del tesoro del
30 settembre 1991 e del 14 settembre 1997, n. 485) o, comunque, derivanti dalla normativa
comunitaria. Restano, invece, soggetti al rilascio del consenso e, in genere, agli ulteriori
obblighi stabiliti dalla legge n. 675/1996 i trattamenti di dati connessi alle ordinarie attività
di funzionamento dell’ente (es.: dati relativi al personale dipendente, ai fornitori ed ai pro-
fessionisti).
• Garante 23 gennaio 1998, in Bollettino n. 3, pag. 25 (v. anche www.garanteprivacy.it: doc. n. 41047)
Pubblicazioni occasionali
• V.: PRIVATI ED ENTI PUBBLICI ECONOMICI > SETTORI DI ATTIVITÀ > ATTIVITÀ GIORNALISTICA >
PUBBLICAZIONI OCCASIONALI (P. 84)
Richieste referendarie
L’esercizio di un diritto politico non può essere subordinato in alcun modo alla prestazione
di un consenso che lo leghi indissolubilmente a forme ulteriori di utilizzazione dei dati dell’elet-
tore; pertanto, la sottoscrizione della richiesta referendaria dev’essere tenuta distinta dal con-
senso eventualmente richiesto all’interessato per altre utilizzazioni dei dati raccolti (cognome e
nome, indirizzo e numero d’iscrizione nelle liste elettorali).
• Garante 28 luglio 1997, in Bollettino n. 1, pag. 24 (v. anche www.garanteprivacy.it: doc. n. 40057)
Ai sensi dell’art. 27, comma 1 della legge n. 675/1996, i soggetti pubblici non devono
richiedere il consenso degli interessati per poter trattare i relativi dati personali, ma devono sol-
tanto verificare che i singoli trattamenti e le categorie di dati siano riconducibili alle proprie fina-
lità istituzionali e siano effettuati nel rispetto di eventuali limiti previsti dalle normative di riferi-
mento o da disposizioni speciali; inoltre, il consenso non dev’essere richiesto neanche per la
comunicazione e diffusione dei dati, allorché tali operazioni siano espressamente previste da
una norma di legge o di regolamento ovvero, in via residuale, quando si rendano necessarie per
lo svolgimento delle funzioni istituzionali delle amministrazioni interessate. Resta fermo, in ogni
caso, l’obbligo d’informativa di cui all’art. 10 della legge n. 675/1996.
• Garante 13 marzo 1998, in Bollettino n. 4, pag. 62 (v. anche www.garanteprivacy.it: doc. n. 40557)
Ai fini del trattamento dei dati sensibili, le pubbliche amministrazioni (nel caso specifico i
comuni), a differenza di quanto previsto per i soggetti privati, non sono tenute a richiedere né il
consenso scritto dei singoli interessati né l’autorizzazione preventiva del Garante, essendo suf-
ficiente, ai sensi dell’art. 22, comma 3 della legge n. 675/1996, l’esistenza di un’espressa dis-
posizione di legge che, nell’autorizzare il trattamento, specifichi i dati che possono essere trat-
tati, le operazioni eseguibili e le rilevanti finalità d’interesse pubblico perseguite.
• Garante 13 marzo 1998, in Bollettino n. 4, pag. 62 (v. anche www.garanteprivacy.it: doc. n. 40557)
Le pubblicazioni di matrimonio di cui agli artt. 93 e ss. del codice civile, consistendo uni-
camente in affissioni all’albo pretorio dei comuni di residenza dei nubendi, sono pubbliche e,
come tali, possono essere visionate da chiunque e riferite sugli organi di stampa, ma non pos-
sono essere comunicate o diffuse da parte dell’ufficiale di stato civile al di fuori dei modi espres-
samente previsti dalla normativa in materia. A fortiori, tale divieto di comunicazione e diffusione
vale per le richieste di pubblicazione che, non solo possono non sfociare nella pubblicazione
(art. 98 c.c.), ma sono annotate nell’apposito registro per il quale valgono, in via generale, le
norme stabilite dal codice civile e dal r.d. n. 1238/1939 per i registri di cittadinanza, di nascita, di
matrimonio e di morte, che non prevedono una loro libera consultabilità da parte dei privati. È
irrilevante, in ogni caso, qualsiasi consenso fornito dagli interessati alla diffusione di tali elen-
chi, vertendosi in tema di trattamento di dati operato da soggetti pubblici.
• Garante 29 maggio 1998, in Bollettino n. 4, pag. 65 (v. anche www.garanteprivacy.it: doc. n. 41055)
Ai sensi della legge n. 675/1996, i Consigli dell’Ordine possono raccogliere e fornire a terzi
elenchi di liberi professionisti e di altri operatori del settore di riferimento qualora i dati oggetto
di trattamento provengano da pubblici registri, elenchi, atti o documenti conoscibili da chiunque,
oppure riguardino lo svolgimento di attività economiche da parte degli interessati (art. 12,
comma 1, lett. c) ed f ); art. 20, comma 1, lett. b) ed e)). In caso contrario, il trattamento dei dati
I comuni, al pari degli altri soggetti pubblici, non devono richiedere il consenso degli inte-
ressati per poter trattare i dati inerenti alle persone fisiche o giuridiche, essendo sufficiente che
i singoli trattamenti siano riconducibili – al pari dei dati trattati – alle finalità istituzionali del-
l’ente e che siano concretamente rispettate eventuali specifiche limitazioni poste da norme spe-
ciali di riferimento.
• Garante 16 febbraio 1999, in Bollettino n. 7, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 42320)
I soggetti pubblici, a differenza dei privati e degli enti pubblici economici, non devono
richiedere il consenso degli interessati e l’autorizzazione del Garante per poter trattare i dati sen-
sibili, ma devono verificare che tali trattamenti siano conformi a puntuali disposizioni di legge
che specifichino i tipi dei dati che possono trattare, le operazioni eseguibili e le rilevanti finalità
di interesse pubblico perseguite (fattispecie anteriore all’entrata in vigore del d.lg. n. 135/1999).
• Garante 14 maggio 1999, in Bollettino n. 8, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 38977)
I soggetti pubblici, a differenza dei privati e degli enti pubblici economici, non devono
richiedere il consenso degli interessati e l’autorizzazione del Garante per poter trattare dati
sensibili, ma, ai sensi dell’art. 22, comma 3 della legge n. 675/1996, come modificato dal d.lg.
n. 135/1999, devono verificare che tali trattamenti siano conformi a puntuali disposizioni di
legge che specifichino i tipi dei dati che possono essere trattati, le operazioni eseguibili e le
rilevanti finalità di interesse pubblico perseguite (principio espresso in risposta a un quesito
posto da una pubblica amministrazione relativo al trattamento dei dati sensibili dei propri
dipendenti per la gestione del rapporto di lavoro).
• Garante 9 giugno 1999, in Bollettino n. 9, pag. 18 (v. anche www.garanteprivacy.it: doc. n. 39184)
Per il trattamento dei dati aventi natura sensibile, i soggetti pubblici non devono acquisire
il consenso degli interessati o rispettare l’autorizzazione del Garante, ma debbono piuttosto
attenersi al disposto dell’art. 22, commi 3 e 3 bis, della legge n. 675/1996, come modificato dal
d.lg. n. 135/1999, che consente il trattamento di tali dati solo se autorizzato da espresse dispo-
sizioni normative che specifichino i dati che possono essere trattati, le operazioni eseguibili e le
rilevanti finalità di interesse pubblico perseguite.
• Garante 20 giugno 2000, in Bollettino n. 13, pag. 27 (v. anche www.garanteprivacy.it: doc. n. 39065)
I soggetti pubblici, ove operino nei limiti previsti dalle finalità istituzionali (art. 27 della
legge n. 675/1996), non devono richiedere l’autorizzazione o il consenso dei cittadini per il trat-
tamento dei dati personali che li riguardano, dovendo, piuttosto, informarli ai sensi dell’art. 10
della legge.
• Garante 5 dicembre 2000, in Bollettino n. 14/15, pag. 22 (v. anche www.garanteprivacy.it: doc. n. 40273)
Casi particolari
Attività sportiva
Benché la legge n. 675/1996 e le autorizzazioni del Garante vietino la diffusione dei dati
idonei a rivelare lo stato di salute dell’interessato (con l’eccezione rappresentata dalla fattispe-
cie contenuta nell’art. 24, comma 4 della legge), tuttavia l’interessato conserva il diritto di ren-
dere pubbliche o meno, anche per interposta persona, le proprie condizioni di salute. Pertanto,
considerata la tendenza invalsa a rendere note talune circostanze relative alla forma degli atleti
impegnati nelle attività agonistiche, le società sportive, oltre ad acquisire il consenso degli atleti
a trattare i dati relativi al loro stato di salute, possono ottenere, a parte, la “delega” a rendere
pubbliche talune circostanze rilevanti per l’interesse pubblico sotteso alle attività stesse, da
individuarsi una tantum ma con precisione, anche con riferimento a determinate categorie di
informazioni.
• Garante 22 giugno 1998, in Bollettino n. 5, pag. 46 (v. anche www.garanteprivacy.it: doc. n. 31035)
Coupon
Le società, imprese, enti, associazioni od altri organismi che procedano alla raccolta di dati
attraverso coupon ricavabili da giornali, depliant, lettere e annunci pubblicitari, ovvero mediante
questionari collegati a tessere di “fidelizzazione”, a ricerche di mercato, a lotterie, estrazioni di
premi od offerte di regali, debbono informare in modo adeguato gli interessati e acquisire il loro
consapevole consenso ove ciò sia necessario in base alla legge n. 675/1996 o ad altra disposi-
zione in materia.
• Garante 13 gennaio 2000, in Bollettino n. 11/12, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 42276)
Il consenso dev’essere sempre richiesto quando i dati raccolti tramite coupon abbiano
natura sensibile o siano ceduti a terzi, ovvero vengano utilizzati per studi e ricerche di mercato.
• Garante 13 gennaio 2000, in Bollettino n. 11/12, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 42276)
E-mail e spamming
• V.: TELECOMUNICAZIONI E RETI TELEMATICHE > CASI PARTICOLARI > E-MAIL E SPAMMING (P. 192)
Partiti politici
• V.: CATEGORIE E REQUISITI DEI DATI PERSONALI > DATI SENSIBILI > DATI IDONEI A RIVELARE OPINIONI
POLITICHE > PARTITI POLITICI (P. 17)
• V.: SOGGETTI PUBBLICI > SETTORI DI ATTIVITÀ > SANITÀ > CASI PARTICOLARI > ESERCENTI LE
PROFESSIONI SANITARIE (P.
152)
Profili generali
Il riferimento alla “persona fisica“, che compare nella definizione del “titolare” contenuta
nell’art. 1 della legge n. 675/1996, alla luce del tenore letterale della disposizione, non riguarda
coloro che amministrano o rappresentano la persona giuridica o la pubblica amministrazione,
bensì gli individui che effettuano un trattamento di dati a titolo personale (es.: un libero profes-
sionista) e che assumono individualmente la piena responsabilità di un’attività che va distinta
nettamente da quella che singole persone fisiche possono coordinare nell’ambito e nell’inte-
resse di una persona giuridica. In quest’ultimo caso, titolare deve essere quindi considerata l’en-
tità nel suo complesso (es.: la società, il ministero, ecc.), quale soggetto cui competono le scelte
di fondo in ordine alla raccolta ed alla utilizzazione dei dati, e non taluna delle persone fisiche
che operano nella relativa struttura e che concorrono ad esprimerne la volontà; tali soggetti pos-
sono semmai, ricorrendone le condizioni, assumere la qualifica di “responsabile” (art. 8 della
legge n. 675/1996). Ciò, peraltro, non esclude che possano essere considerate “titolari” – o con-
titolari – dei trattamenti complesse unità organizzative (quali direzioni generali o aree), interne
alla complessiva struttura, ove queste esercitino un potere decisionale reale e del tutto auto-
nomo sulle finalità e sulle modalità dei trattamenti effettuati nel proprio ambito.
• Garante 9 dicembre 1997, in Bollettino n. 2, pag. 44 (v. anche www.garanteprivacy.it: doc. n. 30915)
Ai sensi dell’art. 1, comma 2, lett. d) della L. 675/1996, il “titolare” è la persona fisica o giu-
ridica, la pubblica amministrazione e qualsiasi altro ente, associazione o organismo cui compe-
tono le scelte di fondo sulle finalità e sulle modalità del trattamento dei dati, anche per ciò che
riguarda la sicurezza.
• Garante 10 giugno 1998, in Bollettino n. 5, pag. 36 (v. anche www.garanteprivacy.it: doc. n. 41794)
Ove il privato, che collabori con il soggetto pubblico e che svolga compiti che comportino
anche attività di trattamento di dati personali, operi nell’ambito di un’attività che ricade nella
sfera di titolarità e responsabilità dell’amministrazione, quest’ultima, quale titolare del tratta-
mento dei dati, deve indicare, con atto scritto, il soggetto che svolga l’eventuale ruolo del
“responsabile” del trattamento svolto per suo conto dal privato (art. 8 della legge n. 675/1996),
da individuarsi nella stessa struttura esterna cui è affidata l’attività, o in un dipendente di que-
sta, oppure in un ufficio o dipendente dell’amministrazione. In ogni caso, è necessario che i
dipendenti della struttura privata operino in qualità di “incaricati del trattamento”, sotto la
diretta sorveglianza e secondo le istruzioni del titolare/soggetto pubblico e del responsabile
(artt. 8, comma 5, e 19 della legge n. 675/1996) (fattispecie attinente al trattamento dei dati per-
sonali svolto da società incaricate da amministrazioni comunali di effettuare misurazioni presso
abitazioni private, con autonomia limitata alla sola concreta disciplina del servizio e ad alcune
scelte tecnico-operative, al fine dell’accertamento della tassa di smaltimento dei rifiuti solidi
urbani, disciplinata dal d.lg. n. 507/1993).
• Garante 29 luglio 1998, in Bollettino n. 5, pag. 54 (v. anche www.garanteprivacy.it: doc. n. 31023)
Nello svolgimento dei propri compiti istituzionali, i soggetti pubblici possono ricorrere alla
collaborazione di privati, cui affidare determinate attività anche attraverso concessioni, appalti o
convenzioni. In tali ipotesi, con riferimento alla problematica relativa al trattamento dei dati per-
sonali, il privato può assumere il ruolo di collaboratore esterno del soggetto pubblico, che
coadiuva l’amministrazione trattando i dati anche al di fuori della relativa struttura, ma nell’am-
bito di un’attività che ricade nella sfera di titolarità e responsabilità dell’amministrazione, la
quale conserva la qualità di titolare del trattamento, oppure può rivestire una figura del tutto
distinta da questa, che decide autonomamente in ordine al trattamento delle informazioni ed
assume le relative responsabilità, assumendo esso stesso la veste di titolare del trattamento.
Nel primo caso, il privato è parte sostanziale della struttura pubblica e rimane quindi soggetto
alla disciplina che la legge n. 675/1996 detta per i soggetti pubblici, nel secondo esso va consi-
derato soggetto autonomo che tratta i dati secondo le regole previste dalla stessa legge per i pri-
vati (fattispecie attinente al trattamento dei dati personali svolto da società incaricate da ammi-
nistrazioni comunali di effettuare misurazioni presso abitazioni private al fine dell’accertamento
della tassa di smaltimento dei rifiuti solidi urbani, disciplinata dal d.lg. n. 507/1993).
• Garante 29 luglio 1998, in Bollettino n. 5, pag. 54 (v. anche www.garanteprivacy.it: doc. n. 31023)
Secondo la legge n. 675/1996, per “titolare” deve intendersi la persona fisica o giuridica,
la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le
scelte di fondo sulle finalità e sulle modalità del trattamento dei dati personali, anche sotto il
profilo della loro sicurezza.
• Garante 16 febbraio 1999, in Bollettino n. 7, pag. 31 (v. anche www.garanteprivacy.it: doc. n. 40627)
Ai sensi dell’art. 19 della legge n. 675/1996, gli “incaricati del trattamento”, previamente
individuati per iscritto e che operano sotto la “diretta autorità” del titolare o del responsabile,
attuandone le istruzioni, non possono essere considerati quali “terzi” ai fini dell’applicazione
delle disposizioni sulla protezione dei dati personali, sia che operino all’interno dell’ordinaria
struttura del titolare, sia che coadiuvino il titolare stesso operando presso un centro esterno.
• Garante 8 giugno 1999, in Bollettino n. 9, pag. 58 (v. anche www.garanteprivacy.it: doc. n. 42260)
La società titolare del trattamento, cui l’interessato, in sede di esercizio dei diritti di cui
all’art. 13 della legge n. 675/1996, abbia richiesto di conoscere gli estremi identificativi del
responsabile, non può limitarsi ad indicare la carica ricoperta da questo soggetto – nella specie,
l’amministratore delegato pro tempore –, ma deve precisare gli elementi atti ad individuare la
persona fisica o l’organismo che riveste tale ruolo (generalità, residenza o sede).
• Garante 9 dicembre 1999, in Bollettino n. 10, pag. 48 (v. anche www.garanteprivacy.it: doc. n. 42300)
In assenza di una formale designazione come incaricati del trattamento, i dipendenti delle
pubbliche amministrazioni che, per lo svolgimento dei propri compiti, vengono a conoscenza di
dati personali, devono essere considerati come soggetti terzi rispetto alle amministrazioni
stesse, con conseguenti rilevanti limiti per la comunicazione e l’utilizzazione dei dati e quindi per
la liceità del trattamento. Tale designazione è, infatti, indispensabile, in quanto permette di con-
siderare legittimo il flusso delle informazioni personali nell’ambito degli uffici e tra i dipendenti
dell’amministrazione titolare del trattamento (v. art. 19 della legge n. 675/1996).
• Garante 23 maggio 2000, in Bollettino n. 13, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40229)
Casi particolari
Associazioni professionali
Attività giornalistica
• V.: PRIVATI ED ENTI PUBBLICI ECONOMICI > SETTORI DI ATTIVITÀ > ATTIVITÀ GIORNALISTICA (P. 81)
L’istanza formulata ai sensi dell’art. 13 della legge n. 675/1996 può essere proposta, oltre
che al direttore responsabile della testata giornalistica, nella qualità di responsabile del tratta-
mento dei dati personali, anche al titolare del trattamento per il tramite di una articolazione cen-
trale o periferica della struttura che fa capo a quest’ultimo (nella specie, una redazione perife-
rica del quotidiano). L’istanza, infatti, deve presumersi conosciuta dal titolare ove giunga in un
luogo che rientra nella sua sfera di dominio e controllo.
• Garante 25 ottobre 2001, in Bollettino n. 23, pag. 19 (v. anche www.garanteprivacy.it: doc. n. 40739)
I manifesti murali destinati alla pubblica affissione rientrano nella definizione di “stampa”
o di “stampato” che, ai sensi dell’art. 1 della legge 8 febbraio 1948, n. 47, riguarda “tutte le ripro-
duzioni tipografiche o comunque ottenute con mezzi meccanici o fisico/chimici in qualsiasi modo
destinate alla pubblicazione”. In questo ambito, il tipografo tratta i dati personali riportati sui
manifesti in una veste (e funzione) meramente strumentale rispetto all’autore della pubblica-
zione, unico soggetto realmente legittimato ad intervenire sul contenuto di essa, ad assumere
decisioni sull’esattezza e sulla completezza dei dati in essa riportati, nonché a rendere noti tali
elementi a coloro ai quali i dati siano stati diffusi. Ne consegue che è soltanto nei confronti del-
l’autore della pubblicazione, quale effettivo titolare del trattamento, che può essere rivolta la
richiesta diretta a rettificare i dati o a prevenirne l’ulteriore diffusione.
• Garante 29 marzo 1999, in Bollettino n. 8, pag. 46 (v. anche www.garanteprivacy.it: doc. n. 30879)
Aziende farmaceutiche
Al fine di individuare i limiti all’accesso da parte delle aziende farmaceutiche, che sponso-
rizzano la sperimentazione dei farmaci, alle cartelle cliniche dei pazienti interessati, è essenziale
verificare quale rapporto intercorre tra l’azienda ospedaliera presso cui si svolge la sperimenta-
zione e l’azienda farmaceutica stessa. Ove, infatti, quest’ultima svolga unicamente il ruolo di col-
laboratore “esterno” del trattamento dei dati, le cui scelte di fondo – e le relative responsabilità
– competono all’azienda ospedaliera, quest’ultima costituisce l’esclusivo titolare del tratta-
mento, che ha la facoltà di designare l’azienda sponsor quale “responsabile del trattamento”.
L’azienda farmaceutica assume, invece, la veste di autonomo titolare o contitolare del tratta-
mento, ove ne individui le finalità e le modalità di svolgimento in condizioni di autonomia
rispetto alla struttura ospedaliera.
• Garante 18 maggio 2000, in Bollettino n. 13, pag. 32 (v. anche www.garanteprivacy.it: doc. n. 30935)
Comuni e province
Allorché l’attività di controllo sulla manutenzione e l’esercizio degli impianti termici, ai sensi
dell’art. 19 del d.P.R. n. 412/1993, venga espletata dalla provincia, sulla base della preventiva sti-
pula di una convenzione, mediante la preposizione di soggetti terzi, si rende necessaria una for-
male designazione del responsabile e degli incaricati del trattamento (artt. 8 e 19 della legge
n. 675/1996); in tal caso, relativamente al rapporto provincia – soggetto preposto al controllo, la
comunicazione al Garante di cui all’art. 27, comma 2 della legge n. 675/1996 diviene superflua. Al
contrario, detta comunicazione, del tutto distinta dalla notificazione ex art. 7 della legge, dev’es-
sere effettuata nel caso in cui non sussista alcuna norma di legge o di regolamento che preveda
l’acquisizione, da parte della provincia, dei dati detenuti da altra amministrazione pubblica.
• Garante 14 gennaio 1999, in Bollettino n. 7, pag. 53 (v. anche www.garanteprivacy.it: doc. n. 42118)
Il concessionario di un pubblico servizio che, in virtù delle clausole della convenzione che
lo lega all’amministrazione, e per la natura stessa del compito che gli viene affidato, non assuma
un ruolo effettivamente autonomo rispetto all’amministrazione o non acquisisca particolari
poteri sulle operazioni conferitegli, ma agisca in funzione servente rispetto alle attribuzioni del-
l’amministrazione, può rivestire la qualità di responsabile del trattamento dei dati di cui viene in
possesso a causa della sua attività, rimanendo all’amministrazione la titolarità di tale tratta-
mento. Il concessionario può espletare i compiti affidatigli solo in riferimento a finalità e a dati
strettamente collegati all’esecuzione della convenzione, secondo modalità coerenti con tale
scopo e con il limite del divieto di divulgazione dei dati fuori dei casi espressamente previsti.
• Garante 15 ottobre 1998, in Bollettino n. 6, pag. 59 (v. anche www.garanteprivacy.it: doc. n. 30859)
Nello svolgimento dei propri compiti istituzionali, ciascun soggetto pubblico può ricorrere
a privati cui affidare determinate attività in concessione. In tale ipotesi, l’amministrazione deve
precisare il ruolo assunto dai concessionari i quali, ai sensi della legge n. 675/1996, possono
essere considerati, alternativamente, come collaboratori esterni del soggetto pubblico, qualora
coadiuvino l’amministrazione trattando dati personali anche al di fuori della relativa struttura,
ma nell’ambito di un’attività che ricade nella sfera di titolarità e di responsabilità dell’ammini-
strazione stessa, oppure come figure soggettive del tutto distinte dall’amministrazione, che
decidono autonomamente in ordine al trattamento delle informazioni e si assumono ogni rela-
tiva responsabilità. Nel primo caso, i concessionari costituiscono parte sostanziale della strut-
tura pubblica – e agli stessi è quindi applicabile il particolare regime previsto per la pubblica
amministrazione –, mentre, nel secondo, sono privati che devono operare in base alle regole det-
tate dalla legge per i soggetti privati e gli enti pubblici economici (principi affermati nell’ambito
del parere reso all’Amministrazione finanziaria sullo schema di decreto ministeriale – previsto
dall’art. 18 del d.lg. n 112/1999 – attinente all’esercizio della facoltà di accesso agli uffici pubblici
da parte dei concessionari della riscossione).
• Garante 16 giugno 1999, in Bollettino n. 9, pag. 19 (v. anche www.garanteprivacy.it: doc. n. 42312)
Per quanto riguarda la normativa sulla protezione dei dati personali, i condòmini devono
essere considerati contitolari di un medesimo trattamento dei dati di cui l’amministratore ha la
concreta gestione; tale contitolarità rende lecita per ciascun condomino la conoscenza dei dati
raccolti ed utilizzati correntemente presso il condominio per le finalità riconducibili alla disci-
plina dettata dagli artt. 1117 e ss. del c.c..
• Garante 19 maggio 2000, in Bollettino n. 13, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 42268)
Ministeri
Il riferimento alla “persona fisica“, che compare nella definizione del “titolare” contenuta
nell’art. 1 legge n. 675/1996, alla luce del tenore letterale della disposizione, non riguarda coloro
Qualora il trattamento dei dati personali sia effettuato nell’ambito di un Ministero, è l’en-
tità nel suo complesso che assume la veste di “titolare” ex art. 1, comma 2, lett. d) della legge
n. 675/1996, e non taluna delle persone fisiche che operano nella struttura e che sono legitti-
mate ad esprimere la volontà dell’ente.
• Garante 10 giugno 1998, in Bollettino n. 5, pag. 36 (v. anche www.garanteprivacy.it: doc. n. 41794)
R.a.i.
Quale responsabile del trattamento, la R.a.i. collabora con l’amministrazione delle Finanze,
titolare del trattamento, nello svolgimento dei compiti relativi alla gestione e alla riscossione dei
canoni. La società non può, quindi, essere considerata come un soggetto privato che persegue
ulteriori finalità e che può decidere autonomamente in ordine al trattamento delle informazioni
personali, dovendo la stessa attenersi rigorosamente alle prescrizioni normative e alle istruzioni
impartite dall’amministrazione finanziaria. Limitatamente a questi rapporti, alla società deve,
quindi, ritenersi applicabile il particolare regime previsto per le amministrazioni pubbliche che, a
differenza dei privati – i quali, ai sensi degli artt. 12 e 20 della legge n. 675/1996, possono trattare
informazioni personali in presenza del consenso degli interessati o di uno degli altri presupposti
I soggetti privati che gestiscono per conto dell’I.n.p.s. servizi informatici di postalizzazione
(es.: il servizio Postel) per il trattamento di dati personali finalizzato alla liquidazione degli asse-
gni per il nucleo familiare e di maternità, debbono essere designati dall’Istituto titolare come
responsabili del trattamento ai sensi dell’art. 8 della legge n. 675/1996, in quanto viene loro affi-
data l’esecuzione, sia pure con un certo grado di autonomia, solo di una parte strumentale delle
operazioni di trattamento necessarie per perseguire le finalità del titolare.
• Garante 2 giugno 1999, in Bollettino n. 9, pag. 11 (v. anche www.garanteprivacy.it: doc. n. 39857)
La Siteba - Sistemi telematici bancari s.p.a. svolge un’attività di supporto tecnico in favore
degli istituti bancari e degli enti emittenti carte di credito che attivano terminali presso gli eser-
cizi commerciali al dettaglio (di regola, di tipo E.F.T./P.O.S. stand-alone) o della c.d. grande dis-
tribuzione (di solito concentrati su server); tale servizio, che è reso presso i punti vendita, è fina-
lizzato all’accettazione delle carte di pagamento da parte dei terminali E.F.T./P.O.S. e si esplica
nell’approntamento, in favore delle banche e degli istituti emittenti, di servizi di installazione,
manutenzione e gestione dei terminali, nonché di ulteriori attività propedeutiche o complemen-
tari (quali, ad esempio, le richieste di codici identificativi degli esercenti o di attivazione dei ter-
minali con le banche acquirers delle carte di credito; i rapporti con i fornitori di rete di teleco-
municazione per l’eventuale concessione di terminazioni speciali). Poiché detta complessiva
attività è strumentale all’ulteriore rapporto tra esercenti il commercio e banche/enti emittenti
deve ritenersi che le scelte di fondo sulle finalità e sulle modalità del trattamento spettino a que-
sti ultimi (che rivestono la qualità di titolari del complessivo trattamento dei dati), sicché, avuto
riguardo alle concrete modalità di gestione del rapporto, è logico interpretare il ruolo della
Siteba come quello di una società titolare di un trattamento correlato ed autonomo, limitata-
mente al centro di assistenza telefonica, esterna alla banca committente del servizio di installa-
zione. Ne consegue l’opportunità che la banca committente, in sede di informativa agli eser-
Notificazione
Profili generali
Il giornalista che, operando in una condizione di completa autonomia dall’editore ed al di
fuori di quelle particolari modalità di lavoro previste dal contratto collettivo con riferimento alla
struttura editoriale, crei una distinta base di dati destinati alla diffusione, assume in prima per-
sona la veste di titolare del trattamento, ed è tenuto ad effettuare una notificazione una tantum
al Garante.
• Garante 24 marzo 1998, in Bollettino n. 4, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 41822)
La notificazione costituisce una dichiarazione generale che non si riferisce a singoli archivi,
computer o schedari, ma attiene al complesso dell’attività di raccolta, di elaborazione e di diffu-
sione delle informazioni, ed è dovuta “una sola volta”, a prescindere dal numero delle operazioni
da svolgere e dalla durata del trattamento. Pertanto, potendo riguardare più trattamenti aventi fina-
lità correlate tra loro, la notificazione in ambito giornalistico può senz’altro comprendere l’insieme
delle basi di dati che ruotano attorno all’impresa editoriale e ai relativi collaboratori, e può quindi
riassumere in una sola dichiarazione sia i trattamenti di dati finalizzati direttamente allo scopo gior-
nalistico, sia quelli che l’impresa gestisce per finalità amministrative (es.: dati relativi al personale
dipendente, all’attività contabile e contrattuale) o commerciali (es.: archivio clienti, marketing).
• Garante 24 marzo 1998, in Bollettino n. 4, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 41822)
Le ipotesi di cessazione del trattamento dei dati personali previste dall’art. 16 della legge
n. 675/1996 riguardano solamente i casi in cui il titolare intenda interrompere in via definitiva
l’intero complesso di operazioni concernenti un determinato trattamento. Non ricorrono tali fat-
tispecie ove venga soppresso solo un singolo archivio o una sua parte, ovvero vengano eliminati
alcuni dati e tuttavia prosegua la complessiva attività di trattamento; in tali casi, pertanto, non
si rende necessario procedere ad alcuna notifica al Garante.
• Garante 3 settembre 1998, in Bollettino n. 6, pag. 24 (v. anche www.garanteprivacy.it: doc. n. 41007)
In forma semplificata
Poiché la disposizione sulla notificazione in forma semplificata da parte dei giornalisti, dei
pubblicisti e dei praticanti pone l’accento soprattutto sul piano funzionale anziché su quello sog-
gettivo, ai fini dell’individuazione della figura del titolare in ambito giornalistico, cui spettano le
decisioni di fondo sulle finalità e sulle modalità del trattamento, è necessario appurare se le
scelte di ordine generale sulle complessive modalità dei trattamenti competano ai singoli gior-
nalisti ovvero all’editore. All’esito di un’analisi del modo d’esplicazione dell’attività giornalistica
e del rapporto giornalisti-editori, deve ritenersi corretto identificare nell’editore il titolare del
complesso dei dati che ruota attorno all’impresa editoriale e che, pertanto, è tenuto ad effettuare
la notificazione semplificata, senza che a ciò possa ritenersi di ostacolo la prassi adottata nel
settore per effetto del contratto di lavoro giornalistico concluso tra la Federazione italiana editori
giornali (F.i.e.g.) e la Federazione nazionale della stampa italiana (F.n.s.i.), che ribadisce soltanto
alcuni principi a garanzia della sfera soggettivo-professionale del giornalista.
• Garante 24 marzo 1998, in Bollettino n. 4, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 41822)
Ai fini del trattamento dei dati sensibili e di carattere giudiziario, i soggetti pubblici devono
procedere alla notificazione una tantum in forma semplificata ex art. 7, comma 5 bis della legge
n. 675/1996, ad eccezione dei trattamenti finalizzati all’adempimento di specifici obblighi con-
tabili, retributivi, previdenziali, assistenziali e fiscali, per i quali, invece, vale l’esonero stabilito
dal comma 5 ter, lett. e) dello stesso articolo. Ove dovuta, la notificazione dev’essere redatta
secondo il modello approvato dal Garante.
• Garante 14 maggio 1999, in Bollettino n. 8, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 38977)
Esonero
Imprenditori artigiani
L’ipotesi di esonero dall’obbligo di notifica del trattamento dei dati prevista dall’art. 7,
comma 5 ter, lett. g) della legge n. 675/1996 si applica anche agli imprenditori artigiani, che rien-
trano nel novero dei soggetti indicati dall’art. 2083 c.c..
• Garante 12 marzo 1998, in Bollettino n. 4, pag. 56 (v. anche www.garanteprivacy.it: doc. n. 39865)
I.n.p.g.i.
L’I.n.p.g.i., avendo natura di fondazione senza scopo di lucro, può avvalersi del dispo-
sto di cui all’art. 7, comma 5 ter, lettera l) della legge n. 675/1996 (così come modificato dal
d.lg. n. 255/1997), con conseguente esonero dall’obbligo di notificazione per i trattamenti
dei dati relativi agli iscritti, al personale dipendente (cui è applicabile anche la previsione
contenuta alla lett. e) del medesimo articolo) ed ai soggetti che, sempre per le finalità per-
seguite dall’Istituto, intrattengano rapporti regolari con esso.
• Garante 13 maggio 1998, in Bollettino n. 4, pag. 45 (v. anche www.garanteprivacy.it: doc. n. 40807)
I notai, quali liberi professionisti iscritti in appositi ruoli, possono avvalersi dell’esenzione
dall’obbligo di notifica del trattamento dei dati prevista dall’art. 7, comma 5 ter, lett. f ) della
legge n. 675/1996, purché esso sia effettuato per le sole finalità strettamente collegate all’a-
dempimento di specifiche prestazioni professionali e fermo restando l’obbligo del segreto pro-
fessionale.
• Garante 30 marzo 1998, in Bollettino n. 4, pag. 57 (v. anche www.garanteprivacy.it: doc. n. 39009)
Ove un partito politico utilizzi i dati dei dipendenti e degli associati in conformità dell’art. 7,
comma 5 ter, lettere e) ed l) della legge n. 675/1996 (rispettivamente per l’adempimento di spe-
cifici obblighi contabili, retributivi, previdenziali, assistenziali e fiscali, ovvero per il persegui-
mento delle finalità associative), il trattamento non è soggetto a notificazione.
• Garante 30 marzo 1998, in Bollettino n. 4, pag. 12 (v. anche www.garanteprivacy.it: doc. n. 39760)
Ai fini del trattamento dei dati sensibili e di carattere giudiziario, i soggetti pubblici devono
procedere alla notificazione una tantum in forma semplificata ex art. 7, comma 5 bis della legge
n. 675/1996, ad eccezione dei trattamenti finalizzati all’adempimento di specifici obblighi con-
tabili, retributivi, previdenziali, assistenziali e fiscali, per i quali, invece, vale l’esonero stabilito
dal comma 5 ter, lett. e) dello stesso articolo. Ove dovuta, la notificazione dev’essere redatta
secondo il modello approvato dal Garante.
• Garante 14 maggio 1999, in Bollettino n. 8, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 38977)
Le piccole e medie imprese industriali, che non rientrano nella nozione di piccolo impren-
ditore, non possono avvalersi dell’esenzione dall’obbligo di notifica del trattamento dei dati
prevista dall’art. 7, comma 5 ter, lett. g) della legge n. 675/1996, che è consentita soltanto ai
soggetti individuati dall’art. 2083 c.c.; ciò, comunque, non preclude a dette imprese la possi-
bilità di avvalersi delle ulteriori ipotesi di esonero previste dall’art. 7 comma 5 ter della legge
n. 675/1996, purché ne ricorrano in concreto i presupposti.
• Garante 12 marzo 1998, in Bollettino n. 4, pag. 55 (v. anche www.garanteprivacy.it: doc. n. 39228)
Ai fini della tutela della riservatezza degli ammalati di A.I.D.S., l’accesso agli archivi elet-
tronici di una divisione di malattie infettive o di altri reparti ospedalieri, in cui i nominativi dei
pazienti risultino raccolti e conservati, dev’essere reso possibile soltanto ai dipendenti di detti
reparti e sempreché sussistano reali esigenze di accesso connesse a ragioni di assistenza e cura
dei singoli ammalati.
• Garante 7 gennaio 1999, in Bollettino n. 7, pag. 13 (v. anche www.garanteprivacy.it: doc. n. 38989)
Il d.lg. n. 135/1999, recante disposizioni integrative della legge n. 675/1996, circa il tratta-
mento dei dati sensibili da parte dei soggetti pubblici prevede che gli organismi sanitari che trat-
tano dati idonei a rivelare lo stato di salute rispettino i principi di correttezza e di pertinenza san-
citi dall’art. 9 della legge n. 675/1996, adottando specifiche cautele a tutela della riservatezza
degli interessati; tra queste, particolarmente significativa è quella secondo cui i dati anagrafici
devono essere conservati separatamente da quelli sanitari che, se contenuti in elenchi, registri
o banche dati, ai sensi dell’art. 3, commi 4 e 5, d.lg. n. 135/1999 devono essere trattati con tec-
niche di cifratura, mediante l’utilizzazione di codici identificativi o di altri sistemi che permettano
di risalire agli interessati solo in caso di necessità.
• Garante 16 febbraio 2000, in Bollettino n. 11/12, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 30907)
La creazione di una banca dati centralizzata che interessa la generalità dei cittadini,
quale quella concernente l’istituzione dell’anagrafe dei rapporti di conto e di deposito di cui
all’art. 20, comma 4 della legge n. 413/1991, presuppone un’attenta regolamentazione che
deve andare oltre l’assetto della sicurezza e dell’integrità dei dati e che deve riguardare le
finalità perseguite, i flussi di dati, l’utilizzazione ulteriore delle informazioni e l’individuazione
di compiti e responsabilità.
• Garante 17 novembre 1999, in Bollettino n. 10, pag. 22 (v. anche www.garanteprivacy.it: doc. n. 40561)
Ai fini del contenimento della criminalità in particolari ambiti cittadini, possono essere
concluse, tra forze di polizia ed aziende comunali di trasporto pubblico, intese dirette all’intro-
duzione di sistemi di videosorveglianza attraverso l’installazione, in via sperimentale, di tele-
camere su alcune linee di autobus e tram e presso le fermate. A tal fine, prima dell’attivazione
dei sistemi, la localizzazione delle telecamere e le modalità di ripresa andranno fissate in ade-
renza alle finalità che ne hanno suggerito l’installazione, tenendo conto dei principi fissati dal-
l’art. 9 della legge n. 675/1996, con particolare riguardo a quelli di pertinenza e di non ecce-
denza dei dati raccolti rispetto agli scopi perseguiti; inoltre, l’attività di videocontrollo, oggetto
di preventiva informativa agli utenti ex art. 10 della legge n. 675/1996, dovrà permettere di
cogliere in modo solo panoramico l’interno delle vetture o l’ambito delle singole fermate, in
maniera da evitare non solo riprese talmente particolareggiate da risultare intrusive della riser-
vatezza o da consentire la rilevazione di particolari non rilevanti, ma anche da impedire la viola-
MISURE PER LA SICUREZZA DEI DATI E DEI SISTEMI > CONSERVAZIONE E LETTURA DI IMMAGINI 77
zione delle previsioni di cui all’art. 4 della legge n. 300/1970 (in riferimento alle postazioni di
guida degli autisti). Infine, le immagini acquisite, accessibili in chiaro da una “stazione di lettura”
sulla scorta di un sistema di “doppia chiave” congiunta (una in possesso del personale dell’a-
zienda all’uopo preposto, l’altra in possesso dell’autorità di polizia), dovranno essere custodite
– unitamente ai sistemi di lettura – con adeguati sistemi di sicurezza, e potranno essere visionate
soltanto in occasione della commissione di atti criminosi ritualmente denunziati.
• Garante 23 marzo 1999, in Bollettino n. 8, pag. 57 (v. anche www.garanteprivacy.it: doc. n. 40899)
Misure minime
Benché le norme processuali non siano state ancora rivisitate in dettaglio per essere inte-
grate e modificate alla luce dei nuovi principi in materia di trattamento dei dati personali, la
legge n. 675/1996 ha comunque reso immediatamente applicabili all’attività svolta “per ragioni
di giustizia” presso gli uffici giudiziari alcuni obblighi sulle modalità e sulla sicurezza del tratta-
mento, tra cui quelli di correttezza e di pertinenza sanciti dall’art. 9 e quelli sulle misure di sicu-
rezza fissati dal d.P.R. n. 318/1999.
• Garante 21 febbraio 2000, in Bollettino n. 11/12, pag. 9 (v. anche www.garanteprivacy.it: doc. n. 40237)
Questionari R.a.i.
Con riferimento alle comunicazioni inviate dalla R.a.i., ai fini del pagamento del canone,
alle persone che non risultano presenti negli elenchi degli abbonati al servizio radiotelevisivo, la
società, al fine della scrupolosa protezione del diritto alla riservatezza dei destinatari, deve adot-
tare misure idonee ad evitare l’inutile divulgazione di dati personali compiuta attraverso la resti-
tuzione del questionario, contenente anche dati di terzi (familiari o conviventi già abbonati), in
una cartolina leggibile da chiunque, anziché in una busta chiusa o con modalità che, comunque,
non ne rendano possibile una facile ed immediata consultazione da parte di estranei.
• Garante 12 luglio 2000, in Bollettino n. 13, pag. 38 (v. anche www.garanteprivacy.it: doc. n. 30923)
MISURE PER LA SICUREZZA DEI DATI E DEI SISTEMI > QUESTIONARI R.A.I. > 79
Rilevazioni biometriche
• V.: PRIVATI ED ENTI PUBBLICI ECONOMICI > SETTORI DI ATTIVITÀ > BIOMETRIA (P. 92)
Garante 13 maggio 1998, in Bollettino n. 4, pag. 20 (v. anche www.garanteprivacy.it: doc. n. 39288)
Garante 14 maggio 1998, in Bollettino n. 4, pag. 18 (v. anche www.garanteprivacy.it: doc. n. 40053)
Ai sensi dell’art. 16 della legge n. 675/1996, una società che intenda porre fine ad un tratta-
mento di dati sensibili, con definitiva ed integrale dismissione degli stessi, è tenuta soltanto a
ripetere la notificazione mediante l’impiego dell’apposito modello, senza dover richiedere alcuna
autorizzazione al Garante che, in ogni caso, ha la facoltà di procedere ad opportune verifiche.
Garante 8 giugno 1998, in Bollettino n. 5, pag. 17 (v. anche www.garanteprivacy.it: doc. n. 40001)
• Settori di attività
Garante 3 settembre 1998, in Bollettino n. 6, pag. 24 (v. anche www.garanteprivacy.it: doc. n. 41007)
Attività giornalistica
Profili generali
I dati personali concernenti le classi stipendiali, le indennità e gli altri emolumenti corri-
sposti ad amministratori e lavoratori dipendenti ed autonomi da concessionari di pubblici ser-
vizi sono da ritenersi conoscibili da parte di chiunque vi abbia interesse attraverso la lettura
degli atti parlamentari (es.: risposte fornite a interrogazioni e interpellanze parlamentari), l’e-
same dei contratti collettivi, l’accesso ai documenti amministrativi (legge n. 241/1990) e, in
sede di esercizio del diritto di cronaca, da parte degli esercenti la professione giornalistica.
Rimane ferma la necessità che tali dati siano esatti, completi ed acquisiti correttamente (art. 9
della legge n. 675/1996), e che siano invece mantenuti riservati quelli relativi a circostanze per-
sonali e familiari, o che abbiano natura sensibile (es.: ritenute previdenziali e assistenziali; ces-
sioni di stipendio; deleghe sindacali).
• Garante 16 settembre 1997, in Bollettino n. 2, pag. 16 (v. anche www.garanteprivacy.it: doc. n. 39364)
Il quadro normativo delineato dalla legge n. 675/1996 in tema di diffusione di dati sensibili
nell’esercizio dell’attività di giornalista ha lasciato inalterata l’esigenza del rispetto, soprattutto
in ordine all’essenzialità dell’informazione rispetto a fatti di interesse pubblico, di alcuni limiti
posti al diritto di cronaca a tutela della riservatezza, suscettibili d’integrazione da parte del
codice deontologico di settore, previsto dall’art. 25 della legge.
• Garante 30 marzo 1998, in Bollettino n. 4, pag. 28 (v. anche www.garanteprivacy.it: doc. n. 42220)
Il diritto all’identità personale, tutelato dall’art. 1 della legge n. 675/1996, può essere leso
dall’avvenuta pubblicazione su un quotidiano di vari articoli di stampa che, attraverso un erro-
neo riferimento alla persona del ricorrente ed al suo stato coniugale, ovvero mediante un’ine-
satta utilizzazione del suo cognome, gli abbiano attribuito comportamenti posti in essere da
altri, con conseguente distorsione della sua immagine. In tal caso, ai sensi dell’art. 29, comma 4
della legge, non solo dev’essere fatto ordine, sia all’editore che al direttore del quotidiano, di
cessare il trattamento illegittimo, ma, ai fini di un’effettiva tutela dei diritti dell’interessato,
dev’essere ordinata la rettifica dei dati personali trattati, con attestazione, in favore del predetto,
della circostanza che tale rettifica è stata portata a conoscenza di coloro ai quali erano stati ori-
ginariamente diffusi i detti dati, attraverso la pubblicazione, sul medesimo quotidiano, di un
apposito comunicato in tal senso.
• Garante 19 aprile 1999, in Bollettino n. 8, pag. 31 (v. anche www.garanteprivacy.it: doc. n. 39033)
La mera citazione, in un articolo di giornale, delle generalità di alcuni vigili urbani rimasti
vittime di comportamenti lesivi dell’integrità fisica o di atti di resistenza, ovvero coinvolti in pro-
cedimenti amministrativi o giudiziari nei quali si controverta di un’infrazione contestata o, even-
tualmente, imputati per reati riconducibili al servizio prestato, non contrasta con i principi affer-
mati negli artt. 12, 20 e 25 della legge n. 675/1996 e nel codice di deontologia in tema di attività
giornalistica.
• Garante 16 febbraio 2000, in Bollettino n. 11/12, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 42280)
Dalla pronunzia del provvedimento di blocco deriva l’obbligo, per il titolare o per il respon-
sabile, di sospendere ogni ulteriore operazione di trattamento diversa dalla mera conservazione
delle informazioni già raccolte e, in particolare, di astenersi dal diffondere ulteriormente i dati
Il trattamento dei dati personali effettuato nell’esercizio dell’attività giornalistica deve svol-
gersi nel rispetto delle previsioni del Codice di deontologia pubblicato sulla G.U. del 29 luglio
1998, che, nel richiamare i fondamentali principi affermati in materia dalla legge n. 675/1996,
detta specifiche regole in tema di essenzialità dell’informazione rispetto ai fatti d’interesse pub-
blico.
• Garante 28 maggio 2001, in Bollettino n. 20, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 40923)
Il giornalista che raccoglie dati personali presso una struttura sanitaria deve fornire una
adeguata informativa agli interessati, che tenga conto delle condizioni psicofisiche dei pazienti
(nella specie, soggetti anoressici) e della loro concreta capacità di esprimere una manifestazione
di volontà realmente consapevole degli effetti derivanti dalla diffusione dei dati e delle immagini
che li riguardano.
• Garante 20 giugno 2001, in Bollettino n. 21, pag. 4 (v. anche www.garanteprivacy.it: doc. n. 39512)
L’istanza formulata ai sensi dell’art. 13 della legge n. 675/1996 può essere proposta, oltre
che al direttore responsabile della testata giornalistica, nella qualità di responsabile del tratta-
mento dei dati personali, anche al titolare del trattamento per il tramite di una articolazione cen-
trale o periferica della struttura che fa capo a quest’ultimo (nella specie, una redazione perife-
rica del quotidiano). L’istanza, infatti, deve presumersi conosciuta dal titolare ove giunga in un
luogo che rientra nella sua sfera di dominio e controllo.
• Garante 25 ottobre 2001, in Bollettino n. 23, pag. 19 (v. anche www.garanteprivacy.it: doc. n. 40739)
Informativa semplificata
Pubblicazioni occasionali
Profili generali
L’art. 7, comma 5 ter, lett. n) della legge n. 675/1996, così come modificato dal d.lg.
n. 255/1997, esonera dall’obbligo di notificazione coloro che raccolgono ed elaborano tempora-
neamente dati finalizzati alla pubblicazione o alla diffusione occasionale di articoli, saggi ed
altre manifestazioni del pensiero. Pertanto, tale ipotesi di esonero – a cui sono estranei i giorna-
listi, i pubblicisti ed i praticanti, che sono autorizzati ad effettuare una notificazione in forma
semplificata – si applica non solo agli innumerevoli soggetti che collaborano saltuariamente con
quotidiani, collane e periodici (pubblicati anche per via telematica) o che sono autori di libri ed
opere audiovisive, ma anche agli editori ed ai produttori che curano la materiale confezione delle
pubblicazioni e delle espressioni letterarie ed artistiche.
• Garante 24 marzo 1998, in Bollettino n. 4, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 41822)
Nel disciplinare per regolamento la conoscibilità delle informazioni in suo possesso, l’ente
locale (nella specie il comune) può contemplarne la diretta divulgabilità tramite riviste e noti-
ziari, anche telematici, curati dall’ente stesso. Poiché la loro pubblicazione ricade nell’ampia
nozione di trattamento finalizzato “esclusivamente alla pubblicazione occasionale di articoli,
saggi o altre manifestazioni del pensiero”, l’ente locale deve tenere conto della disciplina del
trattamento dei dati a fini giornalistici e di divulgazione anche temporanea delle manifestazioni
del pensiero prevista dall’art. 25 della legge n. 675/1996.
• Garante 23 maggio 2000, in Bollettino n. 13, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40229)
Le norme della legge n. 675/1996 relative al trattamento dei dati personali per finalità gior-
nalistiche (artt. 12, comma 1, lett. e), 20, comma 1, lett. d) e 25), nonché le disposizioni contenute
La pubblicazione, ad opera di un partito politico, delle biografie dei propri dirigenti rientra
nella previsione di cui all’art. 25, comma 4 bis della legge n. 675/1996, che estende le preroga-
tive dei giornalisti ai soggetti che curano la pubblicazione di articoli, saggi e altre manifestazioni
del pensiero.
• Garante 30 marzo 1998, in Bollettino n. 4, pag. 12 (v. anche www.garanteprivacy.it: doc. n. 39760)
Epistolario
È lecita la divulgazione, tramite riviste o notiziari curati dai Consigli dell’Ordine degli avvo-
cati, dei provvedimenti disciplinari adottati dai Consigli stessi nei confronti degli iscritti, trattan-
dosi di attività di pubblicazione riconducibile all’ampia nozione di trattamento di dati personali
finalizzato alla pubblicazione o diffusione occasionale di articoli, saggi o altre manifestazioni del
pensiero, cui è applicabile la disciplina prevista dall’art. 25 della legge n. 675/1996 in tema di
attività giornalistica e di informazione.
• Garante 29 marzo 2001, in Bollettino n. 18, pag. 20 (v. anche www.garanteprivacy.it: doc. n. 39536)
Rassegne stampa
Casi particolari
In base alla legge n. 675/1996 (art. 27, comma 3) le amministrazioni pubbliche possono
divulgare i nominativi di contribuenti che hanno dichiarato redditi superiori ad una certa soglia,
trattandosi di informazioni la cui diffusione è prevista da una norma di legge (art. 69 del d.P.R.
n. 600/1973). In base a tale normativa, i dati possono essere poi oggetto di ulteriore circola-
zione a cura dei mezzi di informazione, senza che sia necessario acquisire il consenso degli
interessati (artt. 12 e 20 della legge n. 675/1996).
• Garante 13 ottobre 2000, in Bollettino n. 14/15, pag. 9 (v. anche www.garanteprivacy.it: doc. n. 41023)
La pubblicazione, a cura del Ministero delle finanze, dei nominativi dei contribuenti non
contrasta con le disposizioni della legge n. 675/1996, in quanto i dati reddituali e gli elenchi che
li contengono sono soggetti a specifiche norme regolamentari (art. 69, commi 1, 2, 3 e 4 del
d.P.R. n. 600/1973) che, per rilevanti finalità d’interesse pubblico, ne prevedono la piena cono-
La legge n. 675/1996, che considera “dato personale” qualunque informazione che con-
senta l’identificazione del soggetto interessato, anche se derivante da suoni o immagini (es.: regi-
strazioni sonore, filmati, ecc.), riguarda tutte le operazioni di trattamento dei dati, a prescindere
dal fatto che le informazioni trattate siano contenute in una banca dati o in un archivio. Anche
un’intervista o un colloquio, quindi, come qualsiasi altra dichiarazione, opinione, o manifesta-
zione del pensiero proveniente dall’interessato (uno scritto, un saggio, un articolo, ecc.), costitui-
scono informazioni che riguardano la sua persona e come tali “dati personali”, essendo del tutto
irrilevante la forma in cui sono trattate o gli eventuali supporti che le contengono. Ne consegue
che l’interessato ha pieno diritto di ottenere dall’editore di un quotidiano e dal giornalista autore
dell’articolo la comunicazione, in una forma chiaramente intelligibile (es.: attraverso riproduzione
su supporto sonoro o cartaceo), della registrazione di una propria intervista rilasciata al giornale
e poi divenuta oggetto dell’articolo.
• Garante 26 novembre 1998, in Bollettino n. 6, pag. 32 (v. anche www.garanteprivacy.it: doc. n. 40029)
Minori
Contrasta con i principi posti dalla legge n. 675/1996 in tema di corretto espletamento del-
Il Codice deontologico dei giornalisti – in particolare, l’art. 7, che richiama anche i principi
posti dalla “Carta di Treviso” del 4/5 ottobre 1990 – pone il diritto alla riservatezza di minori
“come primario rispetto al diritto di critica e di cronaca”. Nel pubblicare su un quotidiano un arti-
colo dedicato alla vicenda di un minore, i responsabili della testata debbono quindi astenersi dal
riportare un insieme di informazioni (iniziali del nome e cognome dell’interessato, nome dell’i-
stituto scolastico e classe frequentata) che possono portare con facilità alla identificazione del
soggetto, specie in presenza di un limitato contesto territoriale di riferimento (fattispecie rela-
tiva alla pubblicazione da parte del quotidiano della notizia del malore di una minorenne, resa
identificabile, associandolo ai contraccolpi psicologici determinati dalla cessazione del funzio-
namento di un “pulcino elettronico”).
• Garante 16 giugno 1999, in Bollettino n. 9, pag. 63 (v. anche www.garanteprivacy.it: doc. n. 40049)
Non risulta conforme ai principi in materia di trattamento dei dati nell’esercizio della pro-
fessione giornalistica posti dalla legge n. 675/1996 – in particolare, artt. 12, comma 1, lett. e), 20,
comma 1, lett. d) e 25 – e dal codice deontologico del settore – v. art. 7, che richiama anche i prin-
cipi posti dalla “Carta di Treviso” – la pubblicazione, su di un settimanale, di un servizio giorna-
listico contenente dati personali (fotografie, didascalie, ecc.) di un minore, persona in certa
misura già nota al pubblico, costituito da riprese a distanza di momenti della sua vita scolastica
associate a fantasiosi commenti sul suo stato d’animo, ove essi possano avere incidenza sulla
sua identità ed incrementare la spettacolarizzazione del suo caso.
• Garante 7 ottobre 1999, in Bollettino n. 10, pag. 63 (v. anche www.garanteprivacy.it: doc. n. 31027)
Ai sensi dell’art. 7, comma 3, del codice di deontologia relativo al trattamento dei dati per-
sonali nell’esercizio dell’attività giornalistica, il diritto del minore alla riservatezza dev’essere
sempre considerato come primario rispetto al diritto di critica e di cronaca anche qualora il
minore sia coinvolto in fatti di cronaca e sussista un motivo di rilevante interesse pubblico alla
conoscenza di talune notizie; in tale ipotesi, il giornalista, fermi restando i limiti di legge, può
comunque decidere di diffondere notizie od immagini riguardanti i minori, facendosi carico della
responsabilità di valutare se tale pubblicazione sia davvero nell’interesse oggettivo del minore,
secondo i principi ed i limiti stabiliti dalla “Carta di Treviso”.
• Garante 28 maggio 2001, in Bollettino n. 20, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 40923)
Cronaca giudiziaria
Risulta aderente ai principi fissati in tema di trattamento dei dati nello svolgimento del-
l’attività giornalistica dalla legge n. 675/1996 (artt. 12, comma 1, lett. e), 20, comma 1, lett. d) e
25) e dal codice deontologico di settore (pubblicato su G.U. 3 agosto 1998 n. 179), la pubblica-
zione su un quotidiano della notizia della richiesta di rinvio a giudizio dell’interessato, anche
quando questi è indicato nominativamente, perché tale richiesta, non qualificabile come atto
d’indagine, non è soggetta all’obbligo del segreto imposto dall’art. 329 c.p.p., e purché la noti-
zia sia caratterizzata dalla rilevanza pubblica nell’ambito territoriale di riferimento della testata
giornalistica, dalla sua veridicità e dalla forma civile dell’esposizione.
• Garante 25 ottobre 2001, in Bollettino n. 23, pag. 19 (v. anche www.garanteprivacy.it: doc. n. 40739)
• Garante 19 dicembre 2001, in Bollettino n. 23, pag. 17 (v. anche www.garanteprivacy.it: doc. n. 39336)
Non viola la disciplina posta a tutela della riservatezza in materia di trattamento dei dati
personali nell’esercizio dell’attività giornalistica (contenuta negli artt. 12, comma 1, lett. e),
20, comma 2, lett. d) e 25 della legge n. 675/1996, nonché nel codice deontologico di settore,
Pubblicazioni di matrimonio
Ai sensi degli artt. 12, comma 1, lett. e) e 20, comma 1, lett. d), della legge n. 675/1996, i
dati contenuti nelle pubblicazioni di matrimonio possono essere divulgati a fini giornalistici
anche senza il consenso degli interessati, fermi restando i limiti del diritto di cronaca posti a
tutela della riservatezza e le specifiche disposizioni poste dal codice deontologico di settore;
pertanto, la possibilità di raccogliere e di diffondere i dati estratti dalle pubblicazioni affisse
all’albo pretorio, nell’esercizio della professione di giornalista e per il perseguimento delle rela-
tive finalità, non lede, di per se stessa, la sfera privata degli interessati che, in caso di eventuale
esercizio del diritto di opposizione, sono tenuti ad esplicitare in concreto le ragioni personali
ostative alla prosecuzione del trattamento.
• Garante 17 febbraio 2000, in Bollettino n. 11/12, pag. 20 (v. anche www.garanteprivacy.it: doc. n. 38969)
Il diritto di accesso sancito dall’art. 13 della legge n. 675/1996 è riconosciuto anche nei
confronti dei giornalisti e degli editori, i quali devono confermare senza ritardo se detengono o
meno dati personali che riguardano l’interessato, comunicandoli in una forma intelligibile e for-
nendo riscontro anche alle richieste di blocco e di cancellazione eventualmente presentate.
Resta fermo il dovere dei giornalisti e degli editori di rispettare il segreto professionale sulla
fonte delle notizie, qualora ciò sia richiesto dal relativo carattere fiduciario (art. 2, comma 3 della
legge n. 69/1963).
• Garante 16 ottobre 1997, in Bollettino n. 2, pag. 71 (v. anche www.garanteprivacy.it: doc. n. 40659)
Biometria
Le impronte dattiloscopiche, che forniscono un preciso elemento identificativo di ogni per-
sona fisica, alla luce della definizione fornita dall’art. 1, comma 2, lett. c) della legge n. 675/1996
sono senza dubbio dati personali e, pertanto, il loro trattamento rientra nell’ambito di applica-
zione della legge.
• Garante 19 novembre 1999, in Bollettino n. 10, pag. 68 (v. anche www.garanteprivacy.it: doc. n. 42058)
Il trattamento di dati connesso all’acquisizione delle impronte digitali dei clienti di un cen-
tro sportivo privato non contrasta, di per sé, con la legge n. 675/1996, a condizione che agli inte-
ressati (ossia alle persone che si sono iscritte o che comunque accedono al centro) sia fornita,
anche oralmente, la prescritta informativa (art. 10) e sia richiesto, se necessario, il relativo con-
senso (artt. 11 e 12).
• Garante 19 novembre 1999, in Bollettino n. 10, pag. 68 (v. anche www.garanteprivacy.it: doc. n. 42058)
Deve essere disposto il divieto del trattamento dei dati raccolti con un rilevatore di
impronte digitali (nella specie associato alle immagini riprese da un sistema video) posto all’in-
gresso di un istituto di credito, ove non giustificato da elementi che evidenzino una concreta
situazione di rischio. Un’attività indifferenziata di raccolta di dati significativi, quali le impronte
associate alle immagini, imposta a tutti coloro che entrano nella banca, non può ritenersi di per
sé legittimata da un’esigenza generica di sicurezza, traducendosi in un sacrificio sproporzionato
della sfera di libertà di tutte le persone interessate che possono legittimamente lamentare anche
una considerazione non adeguata e un rilevante pregiudizio della propria dignità personale.
• Garante 11 dicembre 2000, in Bollettino n. 14/15, pag. 30 (v. anche www.garanteprivacy.it: doc. n. 30903)
Rientra tra i compiti del Garante l’instaurazione di un procedimento ai sensi dell’art. 31,
comma 1, lett. c), della legge n. 675/1996 al fine del controllo della liceità del trattamento dei dati
personali (finalità e modalità del trattamento, consultazione dei dati, comunicazione a terzi, con-
servazione e distruzione) operato da un istituto bancario attraverso la raccolta delle impronte
digitali e dell’immagine del volto dei clienti all’ingresso dei locali della banca.
• Garante 28 febbraio 2001, in Bollettino n. 17, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 40181)
La rilevazione dei dati biometrici (nel caso di specie impronte digitali associate ad imma-
gini del volto) di coloro che accedono ai locali di una banca, ove formalmente giustificata dalla
mera affermazione di una generica ed indimostrata esigenza di sicurezza, non suffragata da spe-
cifici elementi di rischio, si pone in contrasto con il principio di proporzionalità di cui all’art. 9
della legge n. 675/1996. Ne consegue che il trattamento dei dati raccolti con detto sistema di
rilevamento è illecito, traducendosi in un sacrificio sproporzionato della sfera di libertà dei sin-
goli interessati.
• Garante 7 marzo 2001, in Bollettino n. 18, pag. 42 (v. anche www.garanteprivacy.it: doc. n. 30947)
L’accesso degli interessati, debitamente informati ex art. 10 della legge n. 675/1996, agli
sportelli bancari tramite i sistemi di rilevazione biometrica deve avvenire su base volontaria e
consensuale, previo abbinamento di detti sistemi ai comuni dispositivi d’ingresso già installati;
la possibilità di tale rilevazione – che, con riferimento alle impronte digitali, non deve dar luogo
ad alcuna “schedatura” da parte degli istituti di credito – non può autorizzare l’adozione di
comportamenti vessatori nei confronti di coloro che non ritengano di acconsentire alla rileva-
zione dell’impronta, con la conseguenza che, in caso d’indisponibilità a sottostare alle rileva-
zioni dei dati biometrici, all’utente deve essere comunque garantita la facoltà di accesso alla
banca, previa adozione di misure di cautela rimesse alla ragionevole valutazione del responsa-
bile della filiale.
• Garante 28 settembre 2001, in Bollettino n. 22, pag. 82 (v. anche www.garanteprivacy.it: doc. n. 39704)
Nella carenza di una base normativa idonea ad operare adeguati bilanciamenti tra i con-
trapposti interessi, l’installazione di sistemi di rilevazione biometrica presso gli sportelli ban-
Istituti di credito
Profili generali
Fuori dei casi di operazioni di comunicazione connesse a prestazioni richieste, a servizi ero-
gati o all’adempimento di obblighi normativi posti in favore di soggetti pubblici, gli istituti di cre-
dito ed il relativo personale devono mantenere il riserbo sulle informazioni relative ai propri clienti,
astenendosi dalla divulgazione a terzi. Inoltre, secondo la legge n. 675/1996, il titolare del tratta-
mento, ai fini del corretto esercizio della facoltà di cui all’art. 20, comma 1, lett. g) della legge, oltre
a valutare l’effettiva necessità della comunicazione dei dati per la difesa di un diritto in sede giu-
diziaria, è tenuto a verificare che la natura dei dati, il contesto in cui essi sono trattati e, in parti-
colare, il rapporto giuridico intercorrente con l’interessato, per disposto di legge o di contratto non
siano d’ostacolo all’esercizio di tale facoltà. Pertanto, sussistendo nei rapporti delle banche con la
clientela l’obbligo di mantenere il riserbo sulle operazioni, sui conti e sulle posizioni degli utenti
(c.d. segreto bancario), in assenza del consenso dell’interessato deve ritenersi illecita la comuni-
cazione dei dati personali di un cliente effettuata da un dipendente dell’istituto in favore del difen-
sore di un terzo (nel caso di specie il coniuge divorziato del ricorrente), perché contraria non solo
ai principi di liceità e correttezza del trattamento fissati dall’art. 9 della legge n. 675/1996, ma
anche agli specifici obblighi nascenti dal rapporto contrattuale (artt. 1175 e 1375 c.c.).
• Garante 23 maggio 2001, in Bollettino n. 20, pag. 30 (v. anche www.garanteprivacy.it: doc. n. 39821)
Ai sensi degli artt. 12, comma 1, lett. a) e 20, comma 1, lett. c), della legge n. 675/1996, non
è necessario acquisire il preventivo consenso dell’interessato per le operazioni di trattamento
dei dati effettuate dagli istituti di credito in adempimento di obblighi derivanti da norme di legge
o di regolamento, tra cui quelle previste dal T.U. delle leggi in materia bancaria e finanziaria; in
particolare, ai sensi degli artt. 53, comma 1, lett. b), 67, comma 1, lett. b) e 107, comma 2, della
legge n. 385/1993, tutte le banche sono tenute a segnalare al servizio di centralizzazione dei
rischi creditizi gestito dalla Banca d’Italia i crediti di un certo importo o comunque in sofferenza
(in conformità alle deliberazioni del C.I.C.R. e alle disposizioni impartite dalla Banca d’Italia nel-
l’ambito dei suoi poteri di vigilanza regolamentare), indipendentemente dall’esistenza di even-
tuali vincoli derivanti, per l’istituto segnalante e per i relativi dipendenti, da pregressi obblighi
contrattuali o relativi al segreto bancario.
• Garante 25 febbraio 2000, in Bollettino n. 11/12, pag. 31 (v. anche www.garanteprivacy.it: doc. n. 39248)
Casi particolari
Benefondi
La legge n. 675/1996 non ha introdotto alcun divieto nei confronti del c.d. “benefondi”
(consistente nell’accertamento, anche informale, attraverso il quale viene garantita l’esistenza,
presso una banca o una sede o filiale della stessa, della provvista corrispondente agli assegni
emessi). Il benefondi, infatti, è certamente riconducibile alle attività che la banca deve descri-
vere, sia pure in termini generali, nei modelli di informativa e di acquisizione del consenso, che
debbono comprendere le operazioni di comunicazione dei dati a terzi ed i trattamenti tempora-
nei che questi ultimi sono tenuti ad effettuare per la corretta esecuzione dei servizi richiesti.
• Garante 30 novembre 1998, in Bollettino n. 6, pag. 85 (v. anche www.garanteprivacy.it: doc. n. 39416)
Ai sensi del d.P.R. n. 600/1973, come modificato dal d.lg. n. 135/1998, e della convenzione
stipulata fra il Ministero delle finanze e l’A.B.I., le società specializzate eventualmente incaricate
dagli istituti di credito di trattare le informazioni contenute nelle dichiarazioni dei redditi dei con-
tribuenti, allo scopo di predisporle in formato elettronico per il successivo inoltro al Ministero,
non possono essere considerate quali autonomi titolari del trattamento; gli istituti di credito
debbono quindi procedere alla nomina del responsabile e delle persone fisiche incaricate di trat-
tare le dichiarazioni.
• Garante 7 luglio 1998, in Bollettino n. 5, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 40377)
La c.d. “distanza di cortesia”, utilizzata da varie banche e in uso presso taluni uffici pub-
L’A.B.I., quale associazione di categoria, ha previsto, nell’ambito dei “Principi generali” del
codice di comportamento del settore bancario e finanziario, adottato con finalità di autodisci-
plina, che ciascun istituto di credito debba impegnarsi a “curare le condizioni di accessibilità alle
strutture fisiche e la riservatezza nello svolgimento delle operazioni”. Ne consegue che la banca,
quale titolare del trattamento, è tenuta non solo a garantire – mediante l’adozione di idonee e
preventive misure di sicurezza – che le operazioni di trattamento siano eseguite – e, quindi, siano
conoscibili – soltanto da parte dei soggetti responsabili o incaricati del trattamento stesso, ma
anche ad impedire l’accesso ai dati da parte di terzi non autorizzati.
• Garante 30 marzo 1998, in Bollettino n. 4, pag. 58 (v. anche www.garanteprivacy.it: doc. n. 39464)
Lavoro e previdenza
• V.: SOGGETTI PUBBLICI > SETTORI DI ATTIVITÀ > LAVORO E PREVIDENZA (P. 128)
Sanità
• V.: SOGGETTI PUBBLICI > SETTORI DI ATTIVITÀ > SANITÀ (P. 140)
Videosorveglianza
La legge n. 675/1996 considera come “dato personale” qualunque informazione che con-
senta l’identificazione dei soggetti interessati anche attraverso suoni e immagini, ed anche se in
via indiretta, mediante il collegamento con altre informazioni. La legge è applicabile anche ai
Risulta legittima, in quanto rientrante nelle finalità istituzionali proprie degli organismi
sanitari pubblici (v. legge n. 833/1978 e successive modifiche ed integrazioni), perché connessa
all’attività di assistenza e cura dei pazienti, l’istallazione, presso i locali di un pronto soccorso
e nel reparto di rianimazione di un’Azienda ospedaliera, di apparecchiature di videosorve-
glianza, al fine rispettivamente del controllo della sicurezza dei corridoi e delle sale di attesa e
per consentire il continuo monitoraggio delle condizioni dei pazienti ricoverati. Anche in consi-
derazione del fatto che, nella specie, si verte in tema di trattamento di dati sensibili (art. 22
della legge n. 675/1996), l’istallazione di tale sistema richiede, peraltro, l’osservanza di speci-
fiche prescrizioni poste dalla legge n. 675/1996, quali la determinazione della localizzazione
delle telecamere e delle modalità di ripresa (in ottemperanza ai principi di pertinenza e non
eccedenza dei dati rispetto alle finalità perseguite fissati dall’art. 9, comma 1, lett. d)), la defi-
nizione dei soggetti (responsabile, incaricati) legittimati a trattare i dati personali, la individua-
zione di idonee misure di sicurezza ai sensi dell’art. 15 (al fine di evitare che i dati possano
entrare nella disponibilità di soggetti non autorizzati), la fissazione di precisi parametri concer-
nenti la eventuale conservazione delle immagini registrate per un periodo di tempo non supe-
riore a quello necessario agli scopi per i quali i dati sono stati raccolti e trattati (art. 9, comma
1, lett. e), la previsione delle forme e delle modalità di informativa agli interessati (art. 10).
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 139 (v. anche www.garanteprivacy.it: doc. n. 40361)
Secondo i principi condivisi in sede europea – cui le normative nazionali debbono ispirarsi
– in tema di installazione e di esercizio di video impianti per la rilevazione degli accessi dei vei-
coli all’interno dei centri storici e delle zone a traffico limitato, le singole amministrazioni pos-
sono introdurre detti sistemi purché il monitoraggio del traffico avvenga attraverso l’impiego di
dati anonimi, con possibilità di acquisizione delle immagini soltanto nel caso di effettiva com-
missione di infrazioni; inoltre, l’utilizzazione dei dati in tal modo acquisiti può avvenire per la
sola finalità dell’applicazione delle norme sugli accessi, salva la possibilità di un loro eventuale
uso per fini di giustizia e di messa a disposizione in forma anonima per ragioni di studio o di
Ai fini del contenimento della criminalità in particolari ambiti cittadini, possono essere
concluse, tra forze di polizia ed aziende comunali di trasporto pubblico, intese dirette all’in-
troduzione di sistemi di videosorveglianza attraverso l’installazione, in via sperimentale, di
telecamere su alcune linee di autobus e tram e presso le fermate. A tal fine, prima dell’attiva-
zione dei sistemi, la localizzazione delle telecamere e le modalità di ripresa andranno fissate
in aderenza alle finalità che ne hanno suggerito l’installazione, tenendo conto dei principi fis-
sati dall’art. 9 della legge n. 675/1996, con particolare riguardo a quelli di pertinenza e di non
eccedenza dei dati raccolti rispetto agli scopi perseguiti; inoltre, l’attività di videocontrollo,
oggetto di preventiva informativa agli utenti ex art. 10 della legge n. 675/1996, dovrà permettere
di cogliere in modo solo panoramico l’interno delle vetture o l’ambito delle singole fermate, in
maniera da evitare non solo riprese talmente particolareggiate da risultare intrusive della riser-
vatezza o da consentire la rilevazione di particolari non rilevanti, ma anche da impedire la viola-
zione delle previsioni di cui all’art. 4 della legge n. 300/1970 (in riferimento alle postazioni di
guida degli autisti). Infine, le immagini acquisite, accessibili in chiaro da una “stazione di lettura”
sulla scorta di un sistema di “doppia chiave” congiunta (una in possesso del personale dell’a-
zienda all’uopo preposto, l’altra in possesso dell’autorità di polizia), dovranno essere custodite
– unitamente ai sistemi di lettura – con adeguati sistemi di sicurezza, e potranno essere visionate
soltanto in occasione della commissione di atti criminosi ritualmente denunziati.
• Garante 23 marzo 1999, in Bollettino n. 8, pag. 57 (v. anche www.garanteprivacy.it: doc. n. 40899)
Deve essere disposto il divieto del trattamento dei dati raccolti con un rilevatore di
impronte digitali (nella specie associato alle immagini riprese da un sistema video) posto all’in-
gresso di un istituto di credito, ove non giustificato da elementi che evidenzino una concreta
situazione di rischio. Un’attività indifferenziata di raccolta di dati significativi, quali le impronte
associate alle immagini, imposta a tutti coloro che entrano nella banca, non può ritenersi di per
sé legittimata da un’esigenza generica di sicurezza, traducendosi in un sacrificio sproporzionato
della sfera di libertà di tutte le persone interessate che possono legittimamente lamentare anche
una considerazione non adeguata e un rilevante pregiudizio della propria dignità personale.
• Garante 11 dicembre 2000, in Bollettino n. 14/15, pag. 30 (v. anche www.garanteprivacy.it: doc. n. 30903)
Attraverso l’informativa prevista dall’art. 10 della legge n. 675/1996 tutte le persone inte-
ressate devono essere messe a conoscenza dell’uso di telecamere che riprendono il luogo dove
le stesse si trovano o intendono recarsi (fattispecie relativa all’istallazione di un sistema di video-
sorveglianza all’ingresso dei locali di una banca).
• Garante 11 dicembre 2000, in Bollettino n. 14/15, pag. 30 (v. anche www.garanteprivacy.it: doc. n. 30903)
Rientra tra i compiti del Garante l’instaurazione di un procedimento ai sensi dell’art. 31,
comma 1, lett. c), della legge n. 675/1996 al fine del controllo della liceità del trattamento dei dati
personali (finalità e modalità del trattamento, consultazione dei dati, comunicazione a terzi, con-
servazione e distruzione) operato da un istituto bancario attraverso la raccolta delle impronte
digitali e dell’immagine del volto dei clienti all’ingresso dei locali della banca.
• Garante 28 febbraio 2001, in Bollettino n. 17, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 40181)
La rilevazione dei dati biometrici (nel caso di specie impronte digitali associate ad imma-
gini del volto) di coloro che accedono ai locali di una banca, ove formalmente giustificata dalla
mera affermazione di una generica ed indimostrata esigenza di sicurezza, non suffragata da
specifici elementi di rischio, si pone in contrasto con il principio di proporzionalità di cui
all’art. 9 della legge n. 675/1996. Ne consegue che il trattamento dei dati raccolti con detto
sistema di rilevamento è illecito, traducendosi in un sacrificio sproporzionato della sfera di
libertà dei singoli interessati.
• Garante 7 marzo 2001, in Bollettino n. 18, pag. 42 (v. anche www.garanteprivacy.it: doc. n. 30947)
Non violano le disposizioni sulla protezione dei dati personali (in particolare, le prescri-
zioni impartite dal Garante con il Provvedimento generale del 29 novembre 2000) sistemi ed
apparecchiature di ripresa dislocate su spiagge – a fini promozionali, pubblicitari o di informa-
zione agli utenti – che, in ragione della distanza dal luogo ripreso o di altre caratteristiche tecni-
che, non consentano di identificare, anche indirettamente, gli interessati.
• Garante 14 giugno 2001, in Bollettino n. 21, pag. 43 (v. anche www.garanteprivacy.it: doc. n. 41782)
L’accesso degli interessati, debitamente informati ex art. 10 della legge n. 675/1996, agli
sportelli bancari tramite i sistemi di rilevazione biometrica deve avvenire su base volontaria e
consensuale, previo abbinamento di detti sistemi ai comuni dispositivi d’ingresso già installati;
la possibilità di tale rilevazione – che, con riferimento alle impronte digitali, non deve dar luogo
ad alcuna “schedatura” da parte degli istituti di credito – non può autorizzare l’adozione di
comportamenti vessatori nei confronti di coloro che non ritengano di acconsentire alla rileva-
zione dell’impronta, con la conseguenza che, in caso d’indisponibilità a sottostare alle rileva-
zioni dei dati biometrici, all’utente deve essere comunque garantita la facoltà di accesso alla
banca, previa adozione di misure di cautela rimesse alla ragionevole valutazione del responsa-
bile della filiale.
• Garante 28 settembre 2001, in Bollettino n. 22, pag. 82 (v. anche www.garanteprivacy.it: doc. n. 39704)
Comunicazione e diffusione
Profili generali
Ai sensi dell’art. 12, comma 1, lett. b) della legge n. 675/1996, gli studi professionali degli
agenti di cambio non sono tenuti a richiedere ai propri clienti il consenso per l’uso professionale dei
dati personali, trattandosi di trattamento necessario per l’esecuzione di obblighi derivanti da un
contratto di cui, peraltro, sono parte gli stessi interessati. Qualora, invece, detto trattamento si con-
cretizzi in una comunicazione o in una diffusione a terzi dei dati personali, l’acquisizione del con-
senso dell’interessato è dovuta, sempre che non ricorrano i presupposti di cui all’art. 20, comma 1,
lett. e) della legge n. 675/1996. In ogni caso permane l’obbligo di rendere un’idonea informativa.
• Garante 22 luglio 1997, in Bollettino n. 1, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 39656)
Ai sensi dell’art. 20, comma 1, lett. c) della legge n. 675/1996, la comunicazione e la diffu-
sione dei dati personali da parte di privati alle pubbliche amministrazioni possono essere effet-
tuate senza il consenso dell’interessato qualora il trattamento avvenga nell’adempimento di un
obbligo previsto da una disposizione di legge, da una norma comunitaria o da un regolamento.
• Garante 18 febbraio 1998, in Bollettino n. 3, pag. 49 (v. anche www.garanteprivacy.it: doc. n. 40719)
Ai sensi dell’art. 20, comma 1, lett. c) della legge n. 675/1996, la comunicazione e la diffu-
sione dei dati personali da parte di privati e di enti pubblici economici può prescindere dal pre-
ventivo consenso dell’interessato nel caso in cui il trattamento sia effettuato in adempimento di
un obbligo previsto dalla legge, da un regolamento o da una norma comunitaria.
• Garante 29 maggio 1998, in Bollettino n. 4, pag. 9 (v. anche www.garanteprivacy.it: doc. n. 42144)
Il termine “diffusione”, dopo l’entrata in vigore della legge n. 675/1996, implica il riferi-
mento ad un numero indeterminato di persone, non la comunicazione a singoli soggetti.
• Garante 12 ottobre 1998, in Bollettino n. 6, pag. 110 (v. anche www.garanteprivacy.it: doc. n. 39680)
La legge n. 675/1996 non ha introdotto alcun divieto nei confronti del c.d. “benefondi”
(consistente nell’accertamento, anche informale, attraverso il quale viene garantita l’esistenza,
presso una banca o una sede o filiale della stessa, della provvista corrispondente agli assegni
emessi). Il benefondi, infatti, è certamente riconducibile alle attività che la banca deve descri-
vere, sia pure in termini generali, nei modelli di informativa e di acquisizione del consenso, che
debbono comprendere le operazioni di comunicazione dei dati a terzi ed i trattamenti tempora-
nei che questi ultimi sono tenuti ad effettuare per la corretta esecuzione dei servizi richiesti.
• Garante 30 novembre 1998, in Bollettino n. 6, pag. 85 (v. anche www.garanteprivacy.it: doc. n. 39416)
Ai sensi dell’art. 19 della legge n. 675/1996, l’acquisizione della conoscenza dei dati da
parte del responsabile e degli incaricati del trattamento, laddove ritualmente nominati dal tito-
lare, non costituisce “comunicazione” in senso tecnico.
• Garante 29 marzo 1999, in Bollettino n. 8, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 40161)
Alle richieste avanzate da pubbliche autorità per finalità istituzionali, ove non riconducibili
alle funzioni indicate nell’art. 4 della legge n. 675/1996, si applica la disciplina generale prevista
per i flussi informativi fra soggetti pubblici e privati (art. 27 e 20 della legge).
• Garante 6 ottobre 1999, in Bollettino n. 10, pag. 69 (v. anche www.garanteprivacy.it: doc. n. 41762)
Casi particolari
Aziende speciali
Le aziende speciali esercenti servizi pubblici, quali enti strumentali del Comune per la
gestione dei servizi dell’ente locale (art. 23, comma 6 della legge n. 142/1990), essendo assog-
gettate, in quanto enti pubblici economici, al regime che la legge n. 675/1996 prevede per i sog-
getti privati che trattano dati personali, sono tenute all’osservanza, fra l’altro, della disposi-
zione dell’art. 20, comma 1, lett. c), che esime tali soggetti dall’obbligo di richiedere il consenso
dell’interessato nel caso in cui il trattamento sia effettuato per adempiere ad una disposizione
contenuta in una legge, in una norma comunitaria o in un regolamento. Si configura, quindi,
come obbligo di tali aziende quello di comunicare ai consiglieri comunali i dati che questi richie-
dano, al fine dell’espletamento del loro mandato, nell’esercizio del generale diritto di accesso,
loro conferito dall’art. 31, comma 5 della legge n. 142/1990, ai dati contenuti negli archivi del
comune e delle aziende ed enti da questo dipendenti (fattispecie relativa alla richiesta di un
consigliere comunale di conoscere i nominativi dei dipendenti dell’azienda preposti alle sedi
territoriali della stessa).
• Garante 10 giugno 1998, in Bollettino n. 5, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 39348)
Le aziende speciali istituite ai sensi dell’art. 23 della legge n. 142/1990, avendo natura giuri-
dica di enti pubblici economici, sono soggette alla disciplina che la legge n. 675/1996 prevede per
i soggetti privati, che consente la comunicazione dei dati personali solo in presenza del consenso
dell’interessato o di uno dei presupposti, ad esso equipollenti, indicati dall’art. 20, comma 1,
lett. c) e g) (fattispecie relativa alla comunicazione al proprietario di un immobile dei dati riguar-
danti l’intestatario delle utenze ad esso relative).
• Garante 26 ottobre 1998, in Bollettino n. 6, pag. 126 (v. anche www.garanteprivacy.it: doc. n. 39500)
Gli estremi identificativi delle utenze telefoniche intestate ai singoli condòmini o ai loro fami-
liari non possono essere annoverati tra quelli oggetto di necessaria ed obbligatoria comunicazione
all’interno del condominio, in quanto non rappresentano elementi utili a determinare i diritti o gli
oneri sulla cosa comune, né è rinvenibile alcun obbligo di legge in tal senso. Resta, peraltro, ferma
la possibilità per l’amministratore di condominio di comunicare i numeri di telefono ai condòmini
richiedenti, con il consenso degli interessati (art. 11 della legge n. 675/1996).
• Garante 19 maggio 2000, in Bollettino n. 13, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 42268)
E.n.e.l.
Poiché sia la normativa attualmente in vigore sui controlli termici (legge n. 10/1991;
d.P.R. n. 412/1993), sia la normativa generale in tema di accertamento delle violazioni ammini-
strative (art. 13 della legge n. 689/1981) non prevedono l’insorgenza, a carico dell’E.n.e.l. s.p.a., di
un obbligo di comunicazione dei dati degli utenti ove richiesti dalla provincia nell’esercizio dei
poteri di controllo ad essa legalmente attribuiti, allo stato non può trovare applicazione il disposto
di cui all’art. 20, comma 1, lett. c) della legge n. 675/1996, che consente ai soggetti privati ed agli
enti pubblici economici di comunicare dati soltanto “in adempimento di un obbligo previsto dalla
legge, da un regolamento o dalla normativa comunitaria”. Ne consegue che l’E.n.e.l., ove destina-
tario di specifiche richieste formulate dalla Provincia o, eventualmente, da società con essa con-
venzionate e ritualmente designate quali “responsabili del trattamento”, ai fini della comunica-
zione dei dati non può prescindere dal rilascio del consenso da parte dei singoli utenti interessati.
• Garante 5 febbraio 1998, in Bollettino n. 3, pag. 38 (v. anche www.garanteprivacy.it: doc. n. 39097)
Rientrano tra i trattamenti di dati operati da persone fisiche per fini esclusivamente perso-
nali, ai sensi dell’art. 3 della legge n. 675/1996, e non sono quindi soggette all’ambito di appli-
cazione della legge, le fotografie (che possono anch’esse contenere dati personali) della parte
esterna di una abitazione scattate per essere utilizzate nell’ambito di una controversia condomi-
niale, ove non destinate ad una comunicazione sistematica o alla diffusione.
• Garante 4 gennaio 2001, in Bollettino n. 16, pag. 23 (v. anche www.garanteprivacy.it: doc. n. 41119)
TRASFERIMENTO DEI DATI ALL’ESTERO > STATI UNITI D’AMERICA > 113
Svizzera
Sulla base di quanto previsto dall’art. 25, paragrafi 1, 2 e 6 della Direttiva n. 95/46/CE del
Parlamento europeo e del Consiglio del 24 ottobre 1995, nonché di quanto già constatato dalla
Commissione europea con la decisione del 26 luglio 2000 n. 2000/518/CE (secondo cui la
Svizzera garantisce un livello adeguato di protezione dei dati personali trasferiti dall’Unione
europea), il Garante, in sede di adozione delle misure necessarie per l’applicazione di detta deci-
sione (art. 25, paragrafo 6 della Direttiva 95/46/CE) ed in conformità di quanto già previsto nel-
l’ordinamento italiano dall’art. 28 della legge n. 675/1996, ha autorizzato il trasferimento dei
dati personali dal territorio dello Stato italiano verso la Svizzera. Il Garante, nell’occasione, ai
sensi degli artt. 2 e 3 della decisione 2000/518/CE della Commissione europea, si è altresì riser-
vato la facoltà di svolgere i necessari controlli sulla liceità e correttezza dei trasferimenti di dati
e sulle connesse operazioni di trattamento, nonché di adottare eventuali provvedimenti di blocco
o di divieto di trasferimento.
• Garante 17 ottobre 2001, in Bollettino n. 23, pag. 148 (v. anche www.garanteprivacy.it: doc. n. 39428)
Ungheria
Sulla base di quanto previsto dall’art. 25, paragrafi 1, 2 e 6 della Direttiva n. 95/46/CE del
Parlamento europeo e del Consiglio del 24 ottobre 1995, nonché di quanto già constatato dalla
Commissione europea con la decisione del 26 luglio 2000 n. 2000/519/CE (secondo cui
l’Ungheria garantisce un livello adeguato di protezione dei dati personali trasferiti dall’Unione
europea), il Garante, in sede di adozione delle misure necessarie per l’applicazione di detta deci-
sione (art. 25, paragr. 6 della Direttiva 95/46/CE) ed in conformità di quanto già previsto nell’or-
dinamento italiano dall’art. 28 della legge n. 675/1996, ha autorizzato il trasferimento dei dati
personali dal territorio dello Stato italiano verso l’Ungheria. Il Garante, nell’occasione, ai sensi
degli artt. 2 e 3 della decisione 2000/519/CE della Commissione europea, si è altresì riservato la
facoltà di svolgere i necessari controlli sulla liceità e correttezza dei trasferimenti di dati e sulle
connesse operazioni di trattamento, nonché di adottare eventuali provvedimenti di blocco o di
divieto di trasferimento.
• Garante 17 ottobre 2001, in Bollettino n. 23, pag. 150 (v. anche www.garanteprivacy.it: doc. n. 41039)
TRASFERIMENTO DEI DATI ALL’ESTERO > PAESI CHE NON GARANTISCONO UN ADEGUATO LIVELLO DI PROTEZIONE 115
Soggetti
pubblici
• Profili generali
• Settori di attività
• Trattamenti particolari
Ove il privato, che collabori con il soggetto pubblico e che svolga compiti che comportino
anche attività di trattamento di dati personali, operi nell’ambito di un’attività che ricade nella
sfera di titolarità e responsabilità dell’amministrazione, quest’ultima, quale titolare del tratta-
mento dei dati, deve indicare, con atto scritto, il soggetto che svolga l’eventuale ruolo del
“responsabile” del trattamento svolto per suo conto dal privato (art. 8 della legge n. 675/1996),
Nello svolgimento dei propri compiti istituzionali, i soggetti pubblici possono ricorrere
alla collaborazione di privati, cui affidare determinate attività anche attraverso concessioni,
appalti o convenzioni. In tali ipotesi, con riferimento alla problematica relativa al trattamento
dei dati personali, il privato può assumere il ruolo di collaboratore esterno del soggetto pub-
blico, che coadiuva l’amministrazione trattando i dati anche al di fuori della relativa struttura,
ma nell’ambito di un’attività che ricade nella sfera di titolarità e responsabilità dell’ammini-
strazione, la quale conserva la qualità di titolare del trattamento, oppure può rivestire una
figura del tutto distinta da questa, che decide autonomamente in ordine al trattamento delle
informazioni ed assume le relative responsabilità, assumendo esso stesso la veste di titolare
del trattamento. Nel primo caso, il privato è parte sostanziale della struttura pubblica e rimane
quindi soggetto alla disciplina che la legge n. 675/1996 detta per i soggetti pubblici, nel
secondo esso va considerato soggetto autonomo che tratta i dati secondo le regole previste
dalla stessa legge per i privati (fattispecie attinente al trattamento dei dati personali svolto da
società incaricate da amministrazioni comunali di effettuare misurazioni presso abitazioni pri-
vate al fine dell’accertamento della tassa di smaltimento dei rifiuti solidi urbani, disciplinata dal
d.lg. n. 507/1993).
• Garante 29 luglio 1998, in Bollettino n. 5, pag. 54 (v. anche www.garanteprivacy.it: doc. n. 31023)
La disciplina prevista per i trattamenti dei dati da parte dei soggetti pubblici (artt. 27 e 22,
comma 3 della legge n. 675/1996) non ha alcun collegamento con la disposizione recante i casi
di esclusione del consenso di cui all’art. 12, che si applica all’attività di privati e di enti pubblici
economici.
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 78 (v. anche www.garanteprivacy.it: doc. n. 39268)
La disciplina delle modalità di utilizzo delle banche dati pubbliche da parte delle varie
amministrazioni deve essere contenuta in norme di legge o di regolamento, in conformità alle
condizioni previste dall’art. 27 della legge n. 675/1996, al fine di realizzare un trasparente
flusso di dati ispirato ad omogenei criteri che garantiscano la protezione dei dati medesimi nel
La disciplina introdotta dal d.lg. n. 135/1999 rende ammissibile il trattamento dei dati di
carattere giudiziario da parte delle amministrazioni pubbliche nell’ambito del rapporto di lavoro
e, in particolare, per svolgere attività dirette all’accertamento della responsabilità disciplinare
dei dipendenti (art. 9, comma 2, lett. g).
• Garante 12 luglio 1999, in Bollettino n. 9, pag. 51 (v. anche www.garanteprivacy.it: doc. n. 39660)
Ai sensi dell’art. 27 della legge n. 675/1996 nonché, per quanto riguarda i dati sensibili,
dell’art. 22 della legge e della disciplina introdotta dal d.lg. n. 135/1999, è legittimo il tratta-
mento dei dati personali effettuato dal Consiglio della provincia autonoma di Trento in relazione
alla nomina o designazione di componenti di altri organismi, di competenza diretta dello stesso
Consiglio o mediante indicazione di singoli consiglieri o di gruppi consiliari, fermo restando l’ob-
bligo del rispetto dei principi posti dalla legge n. 675/1996, in particolare in tema di informativa
all’interessato (art. 10), di misure di sicurezza (art. 15), nonché degli altri requisiti di legittimità
dei dati (art. 9).
• Garante 15 luglio 1999, in Bollettino n. 9, pag. 69 (v. anche www.garanteprivacy.it: doc. n. 30887)
L’inserimento della formula del consenso al trattamento dei dati non è necessaria allorché
la compilazione del coupon sia richiesta da soggetti pubblici ovvero, ai sensi dell’art. 12, comma
1, della legge n. 675/1996, sia necessario al solo fine dell’invio di specifico materiale richiesto da
parte della società o dell’organismo che lo riceve.
• Garante 13 gennaio 2000, in Bollettino n. 11/12, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 42276)
In assenza di una formale designazione come incaricati del trattamento, i dipendenti delle
pubbliche amministrazioni che, per lo svolgimento dei propri compiti, vengono a conoscenza di
Come emerge anche dai lavori parlamentari di approvazione della legge n. 675/1996, tra le
attribuzioni delle regioni non rientrano compiti di disciplina, anche indiretta, della materia della
protezione dei dati personali, neanche in riferimento alle materie di competenza regionale, fermi
restando eventuali provvedimenti regionali in funzione attuativa di obblighi normativi fissati a
livello statuale, i quali trovano il loro fondamento anche in atti internazionali ratificati dall’Italia
(in particolare, nella Convenzione di Strasburgo n. 108/1981, ratificata con la legge n. 98/1989)
o nella normativa comunitaria (Direttiva n. 95/46/CE, di cui la legge n. 675/1996 costituisce par-
ziale recepimento). La materia della protezione dei dati personali riguarda infatti diritti fonda-
mentali ed inalienabili della persona umana, la cui tutela richiede un elevato livello di protezione
che deve essere garantito in conformità alla normativa statale.
• Garante 26 maggio 2000, in Bollettino n. 13, pag. 15 (v. anche www.garanteprivacy.it: doc. n. 39300)
I soggetti pubblici, ove operino nei limiti previsti dalle finalità istituzionali (art. 27 della
legge n. 675/1996), non devono richiedere l’autorizzazione o il consenso dei cittadini per il trat-
tamento dei dati personali che li riguardano, dovendo, piuttosto, informarli ai sensi dell’art. 10
della legge.
• Garante 5 dicembre 2000, in Bollettino n. 14/15, pag. 22 (v. anche www.garanteprivacy.it: doc. n. 40273)
Settori di attività
Archivi di Stato
La legge n. 675/1996 non ha modificato la disciplina vigente in tema di Archivi di Stato –
espressamente fatta salva all’art. 43, comma 2 della legge – e, segnatamente, il d.P.R. n. 1409/1963
e succ. modif. e integr., che prevede per gli enti pubblici la possibilità di stabilire quali docu-
menti d’archivio siano da scartare, sulla base di un apposito provvedimento da sottoporre
all’approvazione dell’autorità vigilante sull’ente, e previo nulla osta del competente sovrinten-
dente archivistico.
• Garante 14 maggio 1998, in Bollettino n. 4, pag. 18 (v. anche www.garanteprivacy.it: doc. n. 40053)
Comuni e province
La legge n. 675/1996 non ha abrogato il regime di pubblicità delle deliberazioni comu-
nali e provinciali contenuto nella legge n. 142/1990 e, per quanto concerne la regione Trentino
Alto-Adige, nella legge regionale n. 1/1993: tali normative permettono la conoscibilità pres-
socché indifferenziata di tali delibere attraverso la loro pubblicazione nei rispettivi albi pretori.
In ogni caso, rimangono fermi il divieto di diffusione dei dati idonei a rivelare lo stato di salute
(art. 23, comma 4 della legge n. 675/1996), nonché i requisiti di pertinenza e non eccedenza
dei dati (art. 9), che obbligano le amministrazioni ad operare una selezione delle informazioni
– specie sensibili – il cui inserimento sia necessario per la realizzazione delle finalità cui le sin-
gole delibere sono preordinate.
• Garante 26 ottobre 1998, in Bollettino n. 6, pag. 133 (v. anche www.garanteprivacy.it: doc. n. 30951)
Non contrasta con i principi di liceità e correttezza nel trattamento dei dati personali posti
dall’art. 9 della legge n. 675/1996 l’acquisizione da parte di un’amministrazione comunale della
copia di una sentenza penale emessa nei confronti dell’interessato, dipendente del Comune, al
fine di utilizzarne i dati esclusivamente per motivi inerenti allo svolgimento del procedimento
disciplinare instaurato nei confronti dello stesso dipendente.
• Garante 12 luglio 1999, in Bollettino n. 9, pag. 51 (v. anche www.garanteprivacy.it: doc. n. 39660)
Alla luce del dettato dell’art. 27 della legge n. 675/1996, che consente il trattamento dei dati
personali da parte dei soggetti pubblici soltanto per lo svolgimento delle funzioni istituzionali, nei
limiti stabiliti dalla legge e dai regolamenti, è legittimo il trattamento effettuato da un Comune in
relazione ai dati contenuti nei questionari compilati dai genitori che intendono usufruire degli asili
nido comunali, in quanto normativamente previsto dal d.lg. n. 109/1998, contenente “definizioni
di criteri unificati di valutazione della situazione economica dei soggetti che richiedono presta-
zioni sociali agevolate, a norma dell’art. 59, comma 51 della legge n. 449/1997”; resta fermo , in
ogni caso, il rispetto delle altre disposizioni della legge n. 675/1996, quali quelle concernenti la
qualità dei dati, la loro pertinenza, l’informativa agli interessati e le misure di sicurezza – artt. 9,
10 e 15 della legge – (provvedimento assunto dal Garante a seguito dell’instaurazione di un auto-
nomo procedimento ai sensi dell’art. 31, comma 1, lett. c).
• Garante 9 settembre 1999, in Bollettino n. 9, pag. 74 (v. anche www.garanteprivacy.it: doc. n. 40537)
Nessuna disposizione della legge n. 675/1996 – in specie, l’art. 9, che al comma 1, lett. d),
stabilisce il principio di pertinenza in materia di trattamento dei dati personali – impedisce in
via generale alla polizia municipale di indicare le generalità degli agenti verbalizzanti nei ver-
bali di accertamento di violazioni al Codice della strada, conformi all’originale e redatti con
sistemi meccanizzati. Tali verbali vanno compilati secondo le norme speciali che regolano i rela-
tivi modelli, contenute nel regolamento di attuazione al Codice della strada approvato con
d.P.R. n. 495/1992 – e successive modificazioni ed integrazioni –, che disciplinano direttamente
i relativi procedimenti sanzionatori amministrativi, e che non sono state abrogate o modificate
dalla legge n. 675/1996.
• Garante 6 febbraio 2001, in Bollettino n. 17, pag. 9 (v. anche www.garanteprivacy.it: doc. n. 41067)
Nello svolgimento dei propri compiti istituzionali, ciascun soggetto pubblico può ricorrere
a privati, affidando ad essi determinate attività in concessione. In tal caso, l’amministrazione
deve precisare il ruolo assunto dal concessionario, il quale, ai sensi della legge n. 675/1996, a
seconda del concreto atteggiarsi del rapporto, può essere considerato alternativamente come
collaboratore esterno ovvero come figura soggettiva del tutto distinta dall’amministrazione.
• Garante 9 giugno 1998, in Bollettino n. 5, pag. 22 (v. anche www.garanteprivacy.it: doc. n. 40365)
Nello svolgimento dei propri compiti istituzionali, ciascun soggetto pubblico può ricorrere
a privati cui affidare determinate attività in concessione. In tale ipotesi, l’amministrazione deve
precisare il ruolo assunto dai concessionari i quali, ai sensi della legge n. 675/1996, possono
essere considerati, alternativamente, come collaboratori esterni del soggetto pubblico, qualora
coadiuvino l’amministrazione trattando dati personali anche al di fuori della relativa struttura,
ma nell’ambito di un’attività che ricade nella sfera di titolarità e di responsabilità dell’ammini-
strazione stessa, oppure come figure soggettive del tutto distinte dall’amministrazione, che
decidono autonomamente in ordine al trattamento delle informazioni e si assumono ogni rela-
tiva responsabilità. Nel primo caso, i concessionari costituiscono parte sostanziale della strut-
tura pubblica – e agli stessi è quindi applicabile il particolare regime previsto per la pubblica
amministrazione –, mentre, nel secondo, sono privati che devono operare in base alle regole det-
tate dalla legge per i soggetti privati e gli enti pubblici economici (principi affermati nell’ambito
del parere reso all’Amministrazione finanziaria sullo schema di decreto ministeriale – previsto
Prefetto
La legge n. 2359/1865 sull’espropriazione per pubblica utilità, all’art. 16, ai fini dell’esatta
determinazione dei beni oggetto del provvedimento ablatorio, prevede l’indicazione di una serie
di elementi identificativi, tra cui le generalità dei proprietari dei fondi iscritti nei registri catastali;
inoltre, l’art. 72, comma 1, della stessa legge stabilisce che il Prefetto, con lo stesso decreto che
autorizza l’occupazione o con decreto successivo, determini provvisoriamente l’indennità da cor-
rispondersi ai proprietari dei beni occupati. Ne consegue che, nell’ipotesi in cui un decreto pre-
fettizio d’occupazione rechi l’indicazione di tali doverosi elementi, il correlativo trattamento di
dati è da considerarsi conforme al dettato di cui all’art. 27 della legge n. 675/1996, in quanto
effettuato da un soggetto pubblico “per lo svolgimento delle funzioni istituzionali, nei limiti sta-
biliti dalla legge e dai regolamenti.
• Garante 16 febbraio 1999, in Bollettino n. 7, pag. 51 (v. anche www.garanteprivacy.it: doc. n. 39548)
R.a.i.
Le attività di trattamento effettuate dalla R.a.i. in qualità di responsabile del Ministero delle
finanze, ai fini della gestione degli abbonamenti al servizio radiotelevisivo, non possono rien-
trare nei casi, indicati dall’art. 14 della legge n. 675/1996, di esclusione dall’esercizio dei diritti
attribuiti dall’art. 13 della stessa legge. Sulla società concessionaria e sull’Amministrazione
finanziaria incombe quindi l’obbligo di fornire riscontro senza ritardo alle richieste avanzate
dagli interessati in base al citato art. 13.
• Garante 12 luglio 2000, in Bollettino n. 13, pag. 38 (v. anche www.garanteprivacy.it: doc. n. 30923)
Il trattamento dei dati effettuato dall’Ufficio per la mediazione penale di Milano è con-
forme alla legge n. 675/1996 in quanto riconducibile all’attuazione degli artt. 9 e 28 del d.P.R.
n. 448/1998, che, rispettivamente, permettono agli uffici giudiziari interessati di avvalersi
della collaborazione di esperti per accertare la personalità dei minori e di promuovere la con-
ciliazione con le persone offese dal reato.
• Garante 17 febbraio 2000, in Bollettino n. 11/12, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 40675)
L’Ufficio per la mediazione penale di Milano, costituito su iniziativa di più soggetti pubblici
in base ad un protocollo d’intesa, è strutturalmente dotato di caratteristiche tali da consentirne
l’ascrizione alla sfera degli organismi pubblici che, operando per finalità di assistenza sociale,
specie in favore di minori, possono trattare dati di carattere personale per il perseguimento delle
proprie funzioni istituzionali.
• Garante 17 febbraio 2000, in Bollettino n. 11/12, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 40675)
Ai sensi dell’art. 27 della legge n. 675/1996, non è possibile la trasmissione ad una società
privata, da parte di un istituto scolastico pubblico (nella specie, un istituto tecnico industriale
statale), dell’elenco dei diplomati, corredato di informazioni di natura personale (data di nascita,
indirizzo, recapito telefonico, voto conseguito e anno di diploma), al fine di agevolarne l’inseri-
mento professionale, se non in presenza di specifiche disposizioni di legge o di regolamento che
autorizzino detta comunicazione (come stabilito dal d.lg. n. 204/1998 e dal d.P.R. n. 390/1998 in
tema di pubblicità di determinati dati relativi a laureati, dottori di ricerca e docenti in ambito uni-
versitario).
• Garante 19 dicembre 1998, in Bollettino n. 6, pag. 129 (v. anche www.garanteprivacy.it: doc. n. 38905)
L’assegnazione, da parte degli insegnanti, di temi in classe, anche se attinenti alla sfera
personale o familiare degli alunni, non contrasta con i principi fissati dalla legge n. 675/1996, in
Non è in contrasto con i principi posti dalla legge n. 675/1996 la comunicazione a terzi da
parte di istituti scolastici dei dati personali degli alunni, per fini di orientamento, formazione,
selezione ed inserimento professionale, sulla base e nei limiti delle richieste provenienti in tal
senso dagli alunni stessi o, se minorenni, dagli esercenti la potestà genitoriale.
• Garante 15 luglio 1999, in Bollettino n. 9, pag. 26 (v. anche www.garanteprivacy.it: doc. n. 42304)
Ai sensi dell’art. 27, comma 3, della legge n. 675/1996, i soggetti pubblici possono
comunicare dati personali a soggetti privati soltanto ove ciò sia previsto da norme di legge o
di regolamento. Il d.lg. 30 luglio 1999, n. 281 che, nell’integrare il d.lg. 16 aprile 1994, n. 297
(art. 330 bis), ha disciplinato la divulgazione, da parte degli istituti scolastici di istruzione
secondaria, dei dati relativi agli studenti, può trovare applicazione anche in caso di richiesta,
da parte di un docente universitario, di elenchi di diplomati a scopo di ricerca, trattandosi di
un’iniziativa che, in quanto volta a favorire – anche con il contributo dell’indagine statistica –
la formazione, l’aggiornamento e la riqualificazione degli studenti e dei lavoratori, è ricondu-
cibile alle finalità specificamente contemplate dall’art. 17 dello stesso decreto.
• Garante 1 febbraio 2000, in Bollettino n. 11/12, pag. 47 (v. anche www.garanteprivacy.it: doc. n. 42168)
Università
Ai sensi dell’art. 27, comma 2 della legge n. 675/1996, deve ritenersi lecita la pubblica-
zione, da parte delle università, dei dati dei dipendenti sull’annuario universitario, trattandosi di
attività di divulgazione già disciplinata da apposita normativa (r.d. n. 674/1924).
• Garante 17 luglio 1997, in Bollettino n. 1, pag. 37 (v. anche www.garanteprivacy.it: doc. n. 40221)
Ai sensi dell’art. 27, comma 3 della legge n. 675/1996, le università possono comunicare e
diffondere a soggetti privati i dati relativi agli studenti laureati, purché detto trattamento avvenga
in base alle normative generali o, eventualmente, alle norme regolamentari dei singoli atenei.
• Garante 17 luglio 1997, in Bollettino n. 1, pag. 37 (v. anche www.garanteprivacy.it: doc. n. 40221)
Ai sensi dell’art. 27, comma 3 della legge n. 675/1996, le università possono trasmettere
elenchi di studenti o di laureati a soggetti privati o ad enti pubblici economici in base alle nor-
mative generali o agli ordinamenti dei singoli atenei.
• Garante 1 febbraio 1999, in Bollettino n. 7, pag. 54 (v. anche www.garanteprivacy.it: doc. n. 30871)
La legge n. 390/1991 (recante norme sul diritto agli studi universitari) ed il connesso
d.P.C.M. 30 aprile 1997 (emanato ai sensi dell’art. 4 della legge n. 390/1991, recante norme in
materia di uniformità di trattamento sul diritto agli studi universitari), contenenti – tra l’altro –
disposizioni relative alla raccolta dei dati personali degli studenti ai fini della valutazione della
condizione economica del nucleo familiare d’appartenenza per la determinazione della tassa d’i-
scrizione e dei contributi, costituiscono, ai sensi dell’art. 27 della legge n. 675/1996, adeguata
base normativa per procedere alla raccolta, alla comunicazione e alla diffusione da parte delle
università ad altre amministrazioni pubbliche dei dati afferenti agli iscritti (in particolare con rife-
rimento ai servizi ed agli interventi non destinati alla generalità degli studenti), in quanto tratta-
menti riconducibili alle funzioni istituzionali delle amministrazioni interessate.
• Garante 1 febbraio 1999, in Bollettino n. 7, pag. 54 (v. anche www.garanteprivacy.it: doc. n. 30871)
A seguito dell’entrata in vigore del d.lg. n. 204/1988 (art. 6, comma 4), le università, con
autonome determinazioni, possono comunicare e diffondere dati relativi ad attività di studio e di
ricerca – con la sola esclusione dei dati sensibili o attinenti a provvedimenti giudiziari – a laureati
e dottori di ricerca per finalità di sostegno della ricerca e della collaborazione in campo scienti-
fico e tecnologico.
• Garante 1 febbraio 1999, in Bollettino n. 7, pag. 54 (v. anche www.garanteprivacy.it: doc. n. 30871)
I dati personali concernenti le classi stipendiali, le indennità e gli altri emolumenti corri-
sposti ad amministratori e lavoratori dipendenti ed autonomi da concessionari di pubblici ser-
vizi sono da ritenersi conoscibili da parte di chiunque vi abbia interesse attraverso la lettura
degli atti parlamentari (es.: risposte fornite a interrogazioni e interpellanze parlamentari), l’e-
same dei contratti collettivi, l’accesso ai documenti amministrativi (legge n. 241/1990) e, in
sede di esercizio del diritto di cronaca, da parte degli esercenti la professione giornalistica.
Rimane ferma la necessità che tali dati siano esatti, completi ed acquisiti correttamente (art. 9
della legge n. 675/1996), e che siano invece mantenuti riservati quelli relativi a circostanze per-
sonali e familiari, o che abbiano natura sensibile (es.: ritenute previdenziali e assistenziali; ces-
sioni di stipendio; deleghe sindacali).
• Garante 16 settembre 1997, in Bollettino n. 2, pag. 16 (v. anche www.garanteprivacy.it: doc. n. 39364)
Nei “test attitudinali” sottoposti da un comune ai propri dipendenti, al fine della migliore
utilizzazione del personale, non possono essere contenuti quesiti attraverso i quali i lavoratori
esprimano in forma non anonima giudizi di valore riferiti alle complessive finalità dell’ente comu-
nale, nonché alle linee concrete dell’azione politico-amministrativa dell’ente e dei suoi dirigenti.
I dati così acquisiti, infatti, risultano in contrasto sia con il principio di pertinenza rispetto alle
finalità della raccolta sancito dall’art. 9, comma 1, lett. c) della legge n. 675/1996, attesa la loro
assai dubbia rilevanza ai fini della valutazione dell’attitudine professionale dei dipendenti, sia
con l’art. 27, comma 1 della stessa legge, il quale stabilisce che i soggetti pubblici possono pro-
cedere al trattamento dei dati personali solo per lo svolgimento delle finalità istituzionali, nei
limiti stabiliti dalla legge e dei regolamenti, in quanto l’art. 8 della legge n. 300/1970 fa divieto
al datore di lavoro di svolgere indagini sulle opinioni politico-sindacali dei lavoratori.
• Garante 1 luglio 1998, in Bollettino n. 5, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 42332)
Il trattamento dei dati personali contenuti nei curricula vitae inviati spontaneamente dai
candidati all’instaurazione di rapporti di lavoro presuppone necessariamente che sia resa una
previa informativa, fatta eccezione dei soli elementi, fra quelli indicati nell’art. 10, comma 1 della
legge n. 675/1996, che siano già noti agli interessati (principio espresso in fattispecie concer-
nente i curricula inviati a società operanti nel settore del lavoro interinale disciplinato dalla legge
n. 196/1997). Ove i dati vengano raccolti telefonicamente, l’informativa può essere data anche
oralmente (e documentata per iscritto dall’addetto che la fornisce).
• Garante 24 dicembre 1998, in Bollettino n. 6, pag. 119 (v. anche www.garanteprivacy.it: doc. n. 40173)
I dati personali contenuti nel cedolino dello stipendio dei lavoratori dipendenti, in quanto
collegati a persone fisiche individuate o individuabili, rientrano nella nozione di “dato perso-
nale” contenuta nell’art. 1 della legge n. 675/1996. Si rende quindi necessario adottare le oppor-
tune misure volte a tutelare la riservatezza degli interessati (es.: piegando e spillando il cedo-
lino, imbustandolo, apponendovi una copertura delle parti più significative, ovvero introducendo
una “distanza di cortesia” agli sportelli), affinché tali dati non siano immediatamente accessibili
a terzi, ma rimangano conoscibili dai soli incaricati del trattamento che li devono necessaria-
mente utilizzare per la gestione del rapporto di lavoro.
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 100 (v. anche www.garanteprivacy.it: doc. n. 39324)
Il datore di lavoro deve adottare tutte le misure volte a tutelare la riservatezza dei dati con-
tenuti nel cedolino dello stipendio dei dipendenti, affinché tali dati non siano immediatamente
accessibili ad altre persone, rimanendo conoscibili dai soli incaricati del trattamento che li
devono necessariamente utilizzare per la gestione del rapporto di lavoro.
• Garante 8 giugno 1999, in Bollettino n. 9, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 40369)
I soggetti pubblici, a differenza dei privati e degli enti pubblici economici, non devono richie-
dere il consenso degli interessati e l’autorizzazione del Garante per poter trattare dati sensibili, ma,
ai sensi dell’art. 22, comma 3 della legge n. 675/1996, come modificato dal d.lg. n. 135/1999,
devono verificare che tali trattamenti siano conformi a puntuali disposizioni di legge che specifi-
chino i tipi dei dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di inte-
resse pubblico perseguite (principio espresso in risposta a un quesito posto da una pubblica ammi-
nistrazione relativo al trattamento dei dati sensibili dei propri dipendenti per la gestione del rap-
porto di lavoro).
• Garante 9 giugno 1999, in Bollettino n. 9, pag. 18 (v. anche www.garanteprivacy.it: doc. n. 39184)
Non contrasta con i principi di liceità e correttezza nel trattamento dei dati personali posti
dall’art. 9 della legge n. 675/1996 l’acquisizione da parte di un’amministrazione comunale della
copia di una sentenza penale emessa nei confronti dell’interessato, dipendente del Comune, al
fine di utilizzarne i dati esclusivamente per motivi inerenti allo svolgimento del procedimento
disciplinare instaurato nei confronti dello stesso dipendente.
• Garante 12 luglio 1999, in Bollettino n. 9, pag. 51 (v. anche www.garanteprivacy.it: doc. n. 39660)
L’art. 13 della legge n. 675/1996 consente l’accesso ai dati personali da parte dei soggetti
cui i dati stessi si riferiscono. È quindi inammissibile il ricorso proposto, ai sensi dell’art. 29 della
legge, da alcuni dipendenti nei confronti del titolare/datore di lavoro, al fine di ottenere l’ac-
cesso alle note di qualifica e alle procedura di valutazione concernenti altri lavoratori.
• Garante 6 febbraio 2001, in Bollettino n. 17, pag. 24 (v. anche www.garanteprivacy.it: doc. n. 39236)
La richiesta del documento matricolare da parte dell’ufficio del Ministero della difesa
presso il quale l’interessato, ufficiale della Marina militare, presta servizio, nonché il successivo
invio di tale documento da parte della competente Direzione generale, non danno luogo ad una
operazione di comunicazione o di diffusione di dati, trattandosi invece di un’attività di utilizzo
interno all’amministrazione militare di dati che vengono trattati da parte di organi e uffici in rela-
zione alle proprie competenze e per lo svolgimento di funzioni istituzionali.
• Garante 6 febbraio 2001, in Bollettino n. 17, pag. 30 (v. anche www.garanteprivacy.it: doc. n. 40615)
L’annotazione inserita dalla Direzione generale per il personale militare, sul documento
matricolare di un ufficiale della Marina militare, della decisione adottata nei suoi confronti dal
giudice per l’udienza preliminare, come pure la trasmissione del documento all’ufficio presso
il quale il militare presta servizio, al fine dell’espletamento di una pratica stipendiale, non
Costituiscono dati personali del dipendente i criteri, gli indici e i fattori algebrici utilizzati
dal datore di lavoro al fine di determinare il “parametro di partecipazione al risultato“ del lavo-
ratore, nonché il valore numerico finale di detto parametro. È peraltro infondato, e deve quindi
essere rigettato, il ricorso del dipendente che non sia basato su elementi che permettano di rite-
nere sussistenti altri dati oltre quelli suddetti, ove il datore abbia precisato che il valore mate-
matico del parametro sia frutto di un semplice “percorso logico“ interno svolto personalmente e
discrezionalmente dal direttore dell’azienda, non documentato in atti o note formali.
• Garante 27 giugno 2001, in Bollettino n. 21, pag. 8 (v. anche www.garanteprivacy.it: doc. n. 30971)
Costituisce illegittimo trattamento dei dati personali, anche di natura sensibile, la comuni-
cazione, da parte del datore di lavoro, indistintamente ai singoli medici che hanno rilasciato
alcuni certificati giustificativi di varie assenze per malattia di una dipendente, nonché all’Ordine
provinciale dei medici e ad una A.S.L., di dati della dipendente e della di lei figlia minore, atti-
nenti alle ragioni delle singole assenze – non tutte per malattia – e alla consecutività dei relativi
periodi di mancata prestazione lavorativa. Con tale comportamento vengono violati i principi di
pertinenza e non eccedenza fissati dall’art. 9 della legge n. 675/1996, nonché le tutele specifi-
camente apprestate a garanzia del trattamento dei dati sensibili – nella specie, attinenti allo
stato di salute – dall’art. 22 della legge.
• Garante 24 settembre 2001, in Bollettino n. 22, pag. 48 (v. anche www.garanteprivacy.it: doc. n. 39460)
Non viola i principi di pertinenza e non eccedenza fissati dall’art. 9 della legge n. 675/1996
il datore di lavoro che comunica all’I.n.p.s. i dati del dipendente assente anche per un solo
giorno, al fine del controllo sullo stato di malattia, in considerazione della normativa di legge e
di quella contrattuale di settore che prevedono la possibilità di controlli e visite fiscali fin dal
primo giorno di assenza.
• Garante 28 settembre 2001, in Bollettino n. 22, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 41103)
Ai sensi dell’art. 3, comma 5, del d.lg. n. 135/1999, il trattamento dei dati idonei a rivelare
lo stato di salute dei dipendenti di un soggetto pubblico è sottoposto a particolari obblighi e cau-
tele che impongono, tra l’altro, la conservazione separata di detti dati da ogni altro dato perso-
nale dell’interessato; tale principio di tendenziale separazione, peraltro, che si concreta soprat-
tutto sul piano della custodia dei dati, deve trovare attuazione anche con riferimento ai fascicoli
personali cartacei dei dipendenti dell’I.n.p.s., con conseguente obbligo dell’Istituto di preporre
Collocamento
Premesso che la legge n. 675/1996 non ha abrogato le disposizioni contenute nella legge
n. 135/1990 (recante un programma di interventi urgenti per la prevenzione e la lotta contro
l’A.I.D.S.), ai fini dell’iscrizione nelle liste del collocamento obbligatorio non è richiesta la speci-
ficazione della diagnosi risultante dalla visita per il riconoscimento dell’invalidità civile – e, in
particolare, dell’eventuale presenza dell’infezione da H.I.V. –, essendo sufficiente l’indicazione
della percentuale di invalidità riscontrata, fermo restando che la certificazione della specifica
patologia può essere richiesta al momento dell’inserimento nel posto di lavoro dell’interessato,
il quale è anche tenuto a fornire indicazioni dell’eventuale presenza dell’affezione da H.I.V. in
vista dello svolgimento di attività che comportino un serio rischio di contagio della malattia a
terzi (cfr. Corte Cost., sent. n. 218/1994).
• Garante 19 dicembre 1997, in Bollettino n. 2, pag. 60 (v. anche www.garanteprivacy.it: doc. n. 39168)
Ai sensi dell’art. 27, comma 3 della legge n. 675/1996, gli uffici di collocamento, in quanto
soggetti pubblici, possono comunicare o diffondere dati a privati solo se ciò sia previsto da una
norma di legge o di regolamento. In tale ottica, il d.lg. n. 469/1997, istitutivo del S.I.L. - Sistema
informativo lavoro, prevedendo un obbligo di connessione e di scambio di dati relativi ai lavora-
tori tra Ministero del lavoro, regioni, enti locali e soggetti autorizzati alla mediazione tra
domanda ed offerta di lavoro, ha reso possibile l’accesso alle banche dati, mediante conven-
zione, anche alle imprese di fornitura di lavoro temporaneo ed ai soggetti autorizzati a detta
mediazione (art. 11, commi 3, 4 e 5). Al contrario, allo stato attuale, nell’ambito della disciplina
sul collocamento al lavoro non sussistono ulteriori norme che permettano di comunicare o di
mettere a disposizione le liste degli iscritti in favore di datori di lavoro privati diversi da quelli
autorizzati dal citato d.lg. n. 469/1997.
• Garante 17 febbraio 1999, in Bollettino n. 7, pag. 59 (v. anche www.garanteprivacy.it: doc. n. 40517)
La creazione di una banca dati centralizzata attuativa della disciplina del collocamento ordi-
nario istituito dalla legge n. 59/1997, che interessa la generalità delle persone aventi l’età stabi-
lita per essere ammesse al lavoro e che sono in cerca di lavoro perché inoccupate, disoccupate,
nonché occupate in cerca di altra attività, presuppone un’attenta regolamentazione che vada
oltre l’assetto della sicurezza e dell’integrità dei dati e che deve riguardare le finalità perseguite,
l’individuazione di compiti e responsabilità, i vari flussi di dati e la loro utilizzazione ulteriore.
• Garante 30 novembre 1999, in Bollettino n. 10, pag. 27 (v. anche www.garanteprivacy.it: doc. n. 39640)
Invalidità civile
Premesso che la legge n. 675/1996 non ha abrogato le disposizioni contenute nella legge
n. 135/1990 (recante un programma di interventi urgenti per la prevenzione e la lotta contro
l’A.I.D.S.), ai fini dell’iscrizione nelle liste del collocamento obbligatorio non è richiesta la speci-
ficazione della diagnosi risultante dalla visita per il riconoscimento dell’invalidità civile – e, in
particolare, dell’eventuale presenza dell’infezione da H.I.V. –, essendo sufficiente l’indicazione
della percentuale di invalidità riscontrata, fermo restando che la certificazione della specifica
patologia può essere richiesta al momento dell’inserimento nel posto di lavoro dell’interessato,
il quale è anche tenuto a fornire indicazioni dell’eventuale presenza dell’affezione da H.I.V. in
vista dello svolgimento di attività che comportino un serio rischio di contagio della malattia a
terzi (cfr. Corte Cost., sent. n. 218/1994).
• Garante 19 dicembre 1997, in Bollettino n. 2, pag. 60 (v. anche www.garanteprivacy.it: doc. n. 39168)
Le disposizioni della legge n. 135/1990 – la cui vigenza è stata confermata dalla legge
n. 675/1996 (art. 43, comma 2) – che sanciscono, tra l’altro, l’obbligo per gli operatori sani-
tari che vengono a conoscenza di un caso di A.I.D.S. o di infezione da H.I.V. di comunicare i
risultati degli accertamenti diagnostici esclusivamente alle persone cui tali esami sono rife-
riti (art. 5), prevalgono sulle norme regolamentari contenute nel d.m. n. 187/1997, che (art. 6)
prevede che la commissione medica competente ad accertare lo stato di inabilità a svolgere
un’attività lavorativa debba redigere un processo verbale, comprensivo del giudizio diagno-
stico, da trasmettere all’amministrazione o all’ente che abbia richiesto l’accertamento. Ne
consegue che la commissione deve adottare ogni misura necessaria per tutelare la riserva-
tezza della persona interessata (es.: indicando la diagnosi relativa all’A.I.D.S. o all’H.I.V. in un
documento riservato anziché nel verbale).
• Garante 31 luglio 1998, in Bollettino n. 5, pag. 40 (v. anche www.garanteprivacy.it: doc. n. 39172)
Poiché a seguito dell’entrata in vigore del d.lg. n. 135/1999 sono lecite (art. 4) le sole ope-
razioni di trattamento dei dati sensibili – inclusa la comunicazione – da parte dei soggetti pub-
A seguito dell’entrata in vigore del d.lg. n. 135/1999, le amministrazioni pubbliche, nel trat-
tare i dati sensibili, sono tenute non solo a verificare il costante rispetto dei diritti, delle libertà
fondamentali e della dignità degli interessati, ma anche a provvedere affinché i dati idonei a rive-
lare lo stato d’invalidità siano trattati solo quando non sia possibile effettuare altrimenti i singoli
adempimenti o passaggi procedurali volti al riconoscimento dei benefici. Nello svolgimento dei
compiti in materia di invalidità civile, anche per ciò che riguarda verifiche e controlli, le ammini-
strazioni non incontrano alcun ostacolo nella normativa sui dati personali: esse, però, sono
tenute a modulare con particolare attenzione la raccolta, la custodia e i flussi di dati, indivi-
duando anche nei riguardi di quali fasi e di quali documenti o soggetti sia realmente essenziale
menzionare in tutto o in parte alcune informazioni sullo stato di salute.
• Garante 1 dicembre 1999, in Bollettino n. 11/12, pag. 14 (v. anche www.garanteprivacy.it: doc. n. 40731)
L’esercizio del diritto di accesso da parte dei dipendenti ai giudizi ad alle ricostruzioni dei
profili professionali espressi dal datore di lavoro è subordinato al completamento della proce-
dura di valutazione, e quindi non può essere fatto valere nelle fasi di preparazione delle note di
qualifica o delle schede di valutazione.
• Garante 2 giugno 1999, in Bollettino n. 9, pag. 34 (v. anche www.garanteprivacy.it: doc. n. 40261)
Le valutazioni effettuate dal datore di lavoro nei confronti del dipendente, comunque for-
mulate o sintetizzate, costituiscono dati personali dell’interessato, suscettibili di richiesta di
accesso ai sensi dell’art. 13 della legge n. 675/1996.
• Garante 7 marzo 2001, in Bollettino n. 18, pag. 32 (v. anche www.garanteprivacy.it: doc. n. 40285)
L’inaccessibilità del dipendente ai dati personali può essere riconosciuta soltanto nei
momenti puramente prodromici che precedono la definizione dei giudizi da parte del datore di
lavoro, e non nel caso in cui quest’ultimo abbia concretizzato la valutazione sul lavoratore, con-
servandone traccia attraverso la formulazione di punteggi o giudizi finali.
• Garante 7 marzo 2001, in Bollettino n. 18, pag. 32 (v. anche www.garanteprivacy.it: doc. n. 40285)
Nell’ambito dell’esercizio degli specifici diritti tutelati dall’art. 13 della legge n. 675/1996,
in particolare del diritto di accesso da parte del dipendente ai dati personali detenuti dal datore
e riferiti all’attività lavorativa svolta, non è possibile pretendere di ottenere copia integrale degli
atti o dei documenti contenenti i dati, ove questi ultimi siano stati forniti attraverso la loro estra-
zione e messa a disposizione, anche se su supporti diversi dagli originali.
• Garante 19 aprile 2001, in Bollettino n. 19, pag. 12 (v. anche www.garanteprivacy.it: doc. n. 41842)
Nella nozione di dato personale offerta dall’art. 1, comma 2, della legge n. 675/1996 rien-
trano anche i dati contenuti in relazioni predisposte dal datore di lavoro che contengano notizie,
informazioni e elementi che abbiano un’efficacia informativa tale da fornire un contributo
aggiuntivo di conoscenza rispetto ad un soggetto identificato o identificabile.
• Garante 24 settembre 2001, in Bollettino n. 22, pag. 57 (v. anche www.garanteprivacy.it: doc. n. 41015)
• Garante 10 ottobre 2001, in Bollettino n. 23, pag. 88 (v. anche www.garanteprivacy.it: doc. n. 40337)
Nella nozione di dato personale contenuta nell’art. 1, comma 2, lett. c), della legge
n. 675/1996 vanno comprese le informazioni di natura personale, annotate in schede, note di
qualifica e documenti dello stesso genere formati dal datore di lavoro, anche se inserite in atti
recanti giudizi e valutazioni e che contengano elementi distintivi del dipendente al quale si rife-
riscono, nonostante che tali dati, cui il lavoratore ha diritto di accedere, non siano passibili di
Nella nozione di dato personale offerta dall’art. 1, comma 2, della legge n. 675/1996, rien-
trano non solo i dati contenuti nel fascicolo personale del dipendente, ma in genere tutte le infor-
mazioni detenute dal datore di lavoro, purché atte a fornire un contributo aggiuntivo di cono-
scenza rispetto al lavoratore.
• Garante 19 dicembre 2001, in Bollettino n. 23, pag. 52 (v. anche www.garanteprivacy.it: doc. n. 41854)
Nella nozione di dato personale offerta dall’art. 1, comma 2, della legge n. 675/1996 rien-
trano anche i dati contenuti nel fascicolo personale del dipendente e nelle relazioni predisposte
dal datore di lavoro che contengano notizie, informazioni o elementi che abbiano un’efficacia
informativa tale da fornire un contributo aggiuntivo di conoscenza rispetto ad un soggetto iden-
tificato o identificabile.
• Garante 27 dicembre 2001, in Bollettino n. 23, pag. 72 (v. anche www.garanteprivacy.it: doc. n. 40987)
Casi particolari
Le Agenzie regionali per l’impiego istituite dalla legge n. 56/1987, in quanto soggetti pub-
blici, soggiacciono alla speciale disciplina prevista dagli artt. 27 e 22, comma 3 della legge
n. 675/1996, che consentono il trattamento dei dati solo se previsto da apposite previsioni di
legge. Ne consegue che va esclusa la possibilità di rendere pubbliche le liste di mobilità in favore
di aziende o associazioni di categoria che ne facciano richiesta, in quanto la normativa di settore
(artt. 6 e ss. della legge n. 223/1991; d.lg. n. 469/1997; decreto del Ministero del lavoro dell’8
maggio 1998, pubblicato sulla G.U. del 6 giugno 1998) prevede un obbligo di connessione e di
scambio dei dati solo tra soggetti specificamente individuati (Ministero del lavoro, regioni, enti
locali, imprese di fornitura di lavoro temporaneo e soggetti autorizzati alla mediazione tra
domanda e offerta di lavoro).
• Garante 12 ottobre 1998, in Bollettino n. 6, pag. 55 (v. anche www.garanteprivacy.it: doc. n. 42272)
Le disposizioni degli artt. 20 e 27, commi 3 e 4, della legge n. 675/1996 consentono, rispet-
I.n.p.g.i.
Qualifiche lavorative
Con l’istanza di cui all’art. 13 della legge n. 675/1996 non possono essere formulate richie-
ste di rettifica di dati personali (in particolare, qualifiche lavorative) che costituiscono espres-
sione del livello di inquadramento mansionistico e retributivo del dipendente in azienda, ove
sussista controversia tra il datore/titolare dei dati e il lavoratore/interessato in ordine alla cor-
retta individuazione di detto inquadramento sulla base delle mansioni svolte dal dipendente e
della disciplina dettata dalla contrattazione collettiva. Rimane impregiudicata la facoltà del lavo-
ratore di far valere i propri diritti avanti all’a.g.o..
• Garante 11 settembre 2001, in Bollettino n. 22, pag. 46 (v. anche www.garanteprivacy.it: doc. n. 42336)
I soggetti privati che gestiscono per conto dell’I.n.p.s. servizi informatici di postalizzazione
(es.: il servizio Postel) per il trattamento di dati personali finalizzato alla liquidazione degli asse-
gni per il nucleo familiare e di maternità, debbono essere designati dall’Istituto/titolare come
responsabili del trattamento ai sensi dell’art. 8 della legge n. 675/1996, in quanto viene loro affi-
data l’esecuzione, sia pure con un certo grado di autonomia, solo di una parte strumentale delle
operazioni di trattamento necessarie per perseguire le finalità del titolare.
• Garante 2 giugno 1999, in Bollettino n. 9, pag. 11 (v. anche www.garanteprivacy.it: doc. n. 39857)
Ai fini del contenimento della criminalità in particolari ambiti cittadini, possono essere con-
cluse, tra forze di polizia ed aziende comunali di trasporto pubblico, intese dirette all’introdu-
zione di sistemi di videosorveglianza attraverso l’installazione, in via sperimentale, di teleca-
mere su alcune linee di autobus e tram e presso le fermate. A tal fine, prima dell’attivazione dei
sistemi, la localizzazione delle telecamere e le modalità di ripresa andranno fissate in aderenza
alle finalità che ne hanno suggerito l’installazione, tenendo conto dei principi fissati dall’art. 9
della legge n. 675/1996, con particolare riguardo a quelli di pertinenza e di non eccedenza dei
dati raccolti rispetto agli scopi perseguiti; inoltre, l’attività di videocontrollo, oggetto di preven-
tiva informativa agli utenti ex art. 10 della legge n. 675/1996, dovrà permettere di cogliere in
modo solo panoramico l’interno delle vetture o l’ambito delle singole fermate, in maniera da evi-
tare non solo riprese talmente particolareggiate da risultare intrusive della riservatezza o da con-
sentire la rilevazione di particolari non rilevanti, ma anche da impedire la violazione delle previ-
sioni di cui all’art. 4 della legge n. 300/1970 (in riferimento alle postazioni di guida degli autisti).
Infine, le immagini acquisite, accessibili in chiaro da una “stazione di lettura” sulla scorta di un
sistema di “doppia chiave” congiunta (una in possesso del personale dell’azienda all’uopo pre-
posto, l’altra in possesso dell’autorità di polizia), dovranno essere custodite – unitamente ai
sistemi di lettura – con adeguati sistemi di sicurezza, e potranno essere visionate soltanto in
occasione della commissione di atti criminosi ritualmente denunziati.
• Garante 23 marzo 1999, in Bollettino n. 8, pag. 57 (v. anche www.garanteprivacy.it: doc. n. 40899)
Sanità
Profili generali
Garante 22 maggio 1998, in Bollettino n. 4, pag. 54 (v. anche www.garanteprivacy.it: doc. n. 41937)
Ai fini del trattamento dei dati sensibili e di carattere giudiziario, i soggetti pubblici devono
procedere alla notificazione una tantum in forma semplificata ex art. 7, comma 5 bis della legge
n. 675/1996, ad eccezione dei trattamenti finalizzati all’adempimento di specifici obblighi con-
tabili, retributivi, previdenziali, assistenziali e fiscali, per i quali, invece, vale l’esonero stabilito
dal comma 5 ter, lett. e) dello stesso articolo. Ove dovuta, la notificazione dev’essere redatta
secondo il modello approvato dal Garante.
• Garante 14 maggio 1999, in Bollettino n. 8, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 38977)
Non risulta conforme al principio di pertinenza nel trattamento dei dati in relazione alle
finalità perseguite, posto dall’art. 9, comma 1, lett. a) e d) della legge n. 675/1996, la disposi-
zione dell’art. 381 del d.P.R. n. 495/1992 (reg. att. del nuovo codice della strada, introdotto con
d.lg. n. 285/1992) che prevede la diffusione, mediante esposizione nei relativi contrassegni, dei
dati personali (generalità, indirizzo o, alternativamente, fotocopia di un documento di identità)
dei titolari di permessi di accesso a zone a traffico limitato, attribuiti a determinate categorie di
soggetti, o di autorizzazione alla sosta, concesse in favore dei portatori di handicap motorio. Ad
assicurare l’esercizio della funzione amministrativa di controllo sulla liceità e sul corretto utilizzo
di detti permessi è, infatti, sufficiente l’esposizione sui contrassegni, nel primo caso, del numero
di targa e di quello del permesso, nel secondo, dell’indicazione del Comune competente e del
numero di autorizzazione, mentre le generalità del titolare, al fine della immediata conoscibilità
da parte di un pubblico ufficiale che le richieda, possono essere riportate sul retro del contras-
segno, celate alla immediata visibilità dall’esterno del veicolo.
Garante 7 giugno 1999, in Bollettino n. 9, pag. 14 (v. anche www.garanteprivacy.it: doc. n. 40983)
Ai sensi dell’art. 23, comma 4 della legge n. 675/1996, “la diffusione dei dati idonei a rive-
lare lo stato di salute è vietata”. Pertanto, la divulgazione di dati personali ad organi di stampa,
in ordine allo stato di salute di una persona, in assenza di un consenso dell’interessato o dei suoi
legittimi rappresentanti, è illegittima a prescindere dalla loro esattezza.
• Garante 16 giugno 1999, in Bollettino n. 9, pag. 63 (v. anche www.garanteprivacy.it: doc. n. 40049)
Il trattamento dei dati sensibili costituiti dalle informazioni contenute nelle schede di
dimissione ospedaliera – disciplinate dal d.m. del 26/7/93 – e dai relativi sistemi di codifica deve
Il d.lg. n. 135/1999 ha stabilito che i dati anagrafici devono essere conservati separata-
mente da quelli sanitari che, invece, se contenuti in elenchi, registri o banche dati devono essere
trattati con “tecniche di cifratura o codici identificativi che consentano di identificare gli interes-
sati solo in caso di necessità” (art. 3, commi 4 e 5).
• Garante 27 ottobre 1999, in Bollettino n. 10, pag. 12 (v. anche www.garanteprivacy.it: doc. n. 41167)
• Garante 27 ottobre 1999, in Bollettino n. 10, pag. 15 (v. anche www.garanteprivacy.it: doc. n. 39744)
Il trattamento dei dati sensibili costituiti dalle informazioni relative alla istituzione presso
l’I.s.p.e.l.s. del registro nazionale dei casi di mesotelioma-asbesto correlati deve ritenersi com-
preso tra le attività di rilevante interesse pubblico rientranti nei compiti del Servizio sanitario
Poiché a seguito dell’entrata in vigore del d.lg. n. 135/1999 sono lecite (art. 4) le sole ope-
razioni di trattamento dei dati sensibili – inclusa la comunicazione – da parte di soggetti pubblici
strettamente necessarie al perseguimento delle finalità per le quali il trattamento è consentito,
non può più ritenersi ammissibile comunicare taluni dati ad associazioni ed enti che tutelano le
diverse categorie di invalidi in base ai compiti previsti dal proprio assetto istituzionale o statu-
tario, salvo che tale comunicazione non sia ritenuta indispensabile per il raggiungimento della
rilevante finalità pubblica perseguita dalle competenti amministrazioni.
• Garante 1 dicembre 1999, in Bollettino n. 11/12, pag. 14 (v. anche www.garanteprivacy.it: doc. n. 40731)
In base alle disposizioni introdotte dal d.lg. n. 135/1999, i soggetti pubblici possono com-
piere sui dati sensibili soltanto le operazioni di trattamento – incluse la raccolta e la comunica-
zione – strettamente necessarie per perseguire i singoli scopi, verificando anche periodicamente
la pertinenza e non eccedenza delle informazioni utilizzate, nonché la loro necessità rispetto alle
finalità perseguite nei singoli casi (artt. 3 e 4); inoltre, i dati idonei a rivelare lo stato di salute o
la vita sessuale devono essere conservati separatamente da ogni altro dato personale trattato
per finalità che non richiedono il loro utilizzo e, ove contenuti in banche dati, elenchi o registri
non cartacei, al pari degli altri dati sensibili debbono essere trattati con tecniche di cifratura o
mediante l’utilizzazione di codici identificativi o di altri sistemi che, tenuto conto del numero e
della natura dei dati trattati, permettono di identificare gli interessati solo in caso di necessità.
• Garante 1 dicembre 1999, in Bollettino n. 11/12, pag. 14 (v. anche www.garanteprivacy.it: doc. n. 40731)
A seguito dell’entrata in vigore del d.lg. n. 135/1999, le amministrazioni pubbliche, nel trat-
tare i dati sensibili, sono tenute non solo a verificare il costante rispetto dei diritti, delle libertà
fondamentali e della dignità degli interessati, ma anche a provvedere affinché i dati idonei a rive-
lare lo stato d’invalidità siano trattati solo quando non sia possibile effettuare altrimenti i singoli
adempimenti o passaggi procedurali volti al riconoscimento dei benefici. Nello svolgimento dei
compiti in materia di invalidità civile, anche per ciò che riguarda verifiche e controlli, le ammini-
strazioni non incontrano alcun ostacolo nella normativa sui dati personali: esse, però, sono
tenute a modulare con particolare attenzione la raccolta, la custodia e i flussi di dati, indivi-
duando anche nei riguardi di quali fasi e di quali documenti o soggetti sia realmente essenziale
menzionare in tutto o in parte alcune informazioni sullo stato di salute.
• Garante 1 dicembre 1999, in Bollettino n. 11/12, pag. 14 (v. anche www.garanteprivacy.it: doc. n. 40731)
Ai sensi dell’art. 23, comma 2, della legge n. 675/1996, spetta al titolare del trattamento la
nomina del medico tramite il quale comunicare i dati relativi allo stato di salute all’interessato
che glieli abbia richiesti attraverso l’istanza di cui all’art. 13 della legge, qualora l’interessato
stesso dichiari di non volervi provvedere.
• Garante 13 febbraio 2001, in Bollettino n. 17, pag. 19 (v. anche www.garanteprivacy.it: doc. n. 42248)
Costituisce illegittimo trattamento dei dati personali, anche di natura sensibile, la comuni-
cazione, da parte del datore di lavoro, indistintamente ai singoli medici che hanno rilasciato
alcuni certificati giustificativi di varie assenze per malattia di una dipendente, nonché all’Ordine
provinciale dei medici e ad una A.S.L., di dati della dipendente e della di lei figlia minore, atti-
nenti alle ragioni delle singole assenze – non tutte per malattia – e alla consecutività dei relativi
periodi di mancata prestazione lavorativa. Con tale comportamento vengono violati i principi di
pertinenza e non eccedenza fissati dall’art. 9 della legge n. 675/1996, nonché le tutele specifi-
camente apprestate a garanzia del trattamento dei dati sensibili – nella specie, attinenti allo
stato di salute – dall’art. 22 della legge.
• Garante 24 settembre 2001, in Bollettino n. 22, pag. 48 (v. anche www.garanteprivacy.it: doc. n. 39460)
Non viola i principi di pertinenza e non eccedenza fissati dall’art. 9 della legge n. 675/1996
il datore di lavoro che comunica all’I.n.p.s. i dati del dipendente assente anche per un solo
giorno, al fine del controllo sullo stato di malattia, in considerazione della normativa di legge e
di quella contrattuale di settore che prevedono la possibilità di controlli e visite fiscali fin dal
primo giorno di assenza.
• Garante 28 settembre 2001, in Bollettino n. 22, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 41103)
Ai sensi dell’art. 3, comma 5, del d.lg. n. 135/1999, il trattamento dei dati idonei a rivelare
lo stato di salute dei dipendenti di un soggetto pubblico è sottoposto a particolari obblighi e cau-
tele che impongono, tra l’altro, la conservazione separata di detti dati da ogni altro dato perso-
Casi particolari
A.I.D.S.
Premesso che la legge n. 675/1996 non ha abrogato le disposizioni contenute nella legge
n. 135/1990 (recante un programma di interventi urgenti per la prevenzione e la lotta contro
l’A.I.D.S.), ai fini dell’iscrizione nelle liste del collocamento obbligatorio non è richiesta la speci-
ficazione della diagnosi risultante dalla visita per il riconoscimento dell’invalidità civile e, in par-
ticolare, dell’eventuale presenza dell’infezione da H.I.V., essendo sufficiente l’indicazione della
percentuale di invalidità riscontrata, fermo restando che la certificazione della specifica patolo-
gia può essere richiesta al momento dell’inserimento nel posto di lavoro dell’interessato, il quale
è anche tenuto a fornire indicazioni dell’eventuale presenza dell’affezione da H.I.V. in vista dello
Le disposizioni della legge n. 135/1990 – la cui vigenza è stata confermata dalla legge
n. 675/1996 (art. 43, comma 2) – che sanciscono, tra l’altro, l’obbligo per gli operatori sanitari
che vengono a conoscenza di un caso di A.I.D.S. o di infezione da H.I.V. di comunicare i risultati
degli accertamenti diagnostici esclusivamente alle persone cui tali esami sono riferiti (art. 5),
prevalgono sulle norme regolamentari contenute nel d.m. n. 187/1997, che (art. 6) prevede che
la commissione medica competente ad accertare lo stato di inabilità a svolgere un’attività lavo-
rativa debba redigere un processo verbale, comprensivo del giudizio diagnostico, da trasmettere
all’amministrazione o all’ente che abbia richiesto l’accertamento. Ne consegue che la commis-
sione deve adottare ogni misura necessaria per tutelare la riservatezza della persona interessata
(es.: indicando la diagnosi relativa all’A.I.D.S. o all’H.I.V. in un documento riservato anziché nel
verbale).
• Garante 31 luglio 1998, in Bollettino n. 5, pag. 40 (v. anche www.garanteprivacy.it: doc. n. 39172)
Ai fini della tutela della riservatezza degli ammalati di A.I.D.S., l’accesso agli archivi elet-
tronici di una divisione di malattie infettive o di altri reparti ospedalieri, in cui i nominativi dei
pazienti risultino raccolti e conservati, dev’essere reso possibile soltanto ai dipendenti di detti
reparti e sempreché sussistano reali esigenze di accesso connesse a ragioni di assistenza e cura
dei singoli ammalati.
• Garante 7 gennaio 1999, in Bollettino n. 7, pag. 13 (v. anche www.garanteprivacy.it: doc. n. 38989)
La legge n . 675/1996 (art. 43, comma 2), all’atto della sua entrata in vigore, ha fatto salve
alcune specifiche disposizioni di legge, tra cui la legge n. 135/1990 in materia di A.I.D.S.. In par-
ticolare, detta legge, non solo obbliga “gli operatori sanitari che, nell’esercizio della loro profes-
sione, vengano a conoscenza di un caso di A.I.D.S., ovvero di un caso di H.I.V.” ad adottare “tutte
le misure occorrenti per la tutela della riservatezza della persona assistita” (art. 5, comma 1) e a
comunicare i risultati degli accertamenti diagnostici, diretti o indiretti, “esclusivamente alla per-
sona cui tali esami sono riferiti (art. 5, comma 4), ma altresì vieta “ai datori di lavoro, pubblici o
privati, lo svolgimento di indagini volte ad accertare nei dipendenti o in persone prese in consi-
derazione per l’instaurazione di un rapporto di lavoro l’esistenza di uno stato di sieropositività”.
Ne consegue che la richiesta di una U.L.S.S., volta ad ottenere, dal primario ospedaliero di una
divisione malattie infettive, la trasmissione di dati nominali e di indicazioni terapeutiche relative
ai singoli pazienti affetti da A.I.D.S., ove giustificata da mere esigenze di rilevamento di dati sul
consumo dei farmaci, si pone in contrasto con lo spirito della legge n. 135/1990, essendo diretta
esclusivamente a soddisfare finalità di tipo statistico-contabile, non pertinenti con le esigenze di
cura di tale categoria di ammalati.
• Garante 7 gennaio 1999, in Bollettino n. 7, pag. 13 (v. anche www.garanteprivacy.it: doc. n. 38989)
Premesso che la legge n. 675/1996 non ha abrogato le disposizioni della legge n. 135/1990
in materia di A.I.D.S. ma, anzi, ne ha confermato la vigenza, purché con essa compatibili (art. 43,
comma 2), la trasmissione del giudizio diagnostico relativo all’accertamento dell’infezione da
H.I.V. al tribunale per i minorenni da parte delle A.S.L., incaricate dal tribunale di sottoporre ad
indagini mediche le persone che hanno presentato domanda di adozione, non appare conforme
al dettato normativo della legge n. 135/1990, che impone il mantenimento di un rigoroso rispetto
della riservatezza delle persone affette da A.I.D.S. (v. art. 5, secondo il quale i risultati degli
accertamenti vanno comunicati “esclusivamente alla persona cui tali esami sono riferiti”). Un
adeguato bilanciamento tra l’interesse dei minori ad un ambiente familiare stabile ed armonioso,
cui è preordinata la procedura descritta, e il diritto degli adottanti al rispetto della propria riser-
vatezza, può essere costituito dalla instaurazione di una prassi secondo la quale ciascun
coniuge, informato dal medico delle proprie condizioni di salute, provveda personalmente a pro-
durre la documentazione al tribunale per i minorenni, decidendo se rimettere il giudizio diagno-
stico di A.I.D.S. al giudice che è tenuto a valutare l’idoneità dell’adozione, ovvero se ritirare la
domanda, evitando l’ulteriore corso del procedimento.
• Garante 15 luglio 1999, in Bollettino n. 9, pag. 77 (v. anche www.garanteprivacy.it: doc. n. 42022)
Il particolare regime di tutela previsto dal nostro ordinamento per le informazioni rela-
tive all’A.I.D.S. e all’infezione H.I.V. si inserisce nel più generale quadro di garanzie stabilite
dalla legge n. 675/1996 per il trattamento dei dati idonei a rivelare lo stato di salute e dal
d.P.R. 318/1999 in tema di misure di sicurezza.
• Garante 16 febbraio 2000, in Bollettino n. 11/12, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 30907)
La circostanza che non tutti i principi posti dalla legge n. 675/1996 siano stati ulterior-
mente sviluppati sul piano normativo in relazione alle attività di giustizia non deve far ritenere
inoperanti detti principi, che dovrebbero essere attualmente tradotti in concrete misure attuative
anche di carattere organizzativo, opportunamente modulate in rapporto alle diverse vicende pro-
cessuali. In questa prospettiva, si pone una recente tendenza dell’ordinamento a tutelare in ogni
sede, in modo particolarmente rigoroso, la dignità e la riservatezza di persone sieropositive o
malate di A.I.D.S. o emotrasfusi, come dimostrato, oltre che dall’art. 286 bis del c.p.p. in tema di
custodia cautelare in caso di infezione da H.I.V. o di A.I.D.S., anche da specifiche disposizioni di
settore che, pur non individuando specifiche cautele processuali, impongono, a seconda dei
casi, agli operatori sanitari o a “chiunque” venga a conoscenza di particolari infezioni nell’eser-
cizio delle proprie funzioni, di adottare, nell’ambito delle proprie competenze, tutte le misure
occorrenti per la tutela della riservatezza della persona assistita (art. 5 della legge n. 135/1990
e art. 3, comma 1 bis, della legge n. 210/1992).
• Garante 21 febbraio 2000, in Bollettino n. 11/12, pag. 9 (v. anche www.garanteprivacy.it: doc. n. 40237)
Garante 18 maggio 2000, in Bollettino n. 13, pag. 32 (v. anche www.garanteprivacy.it: doc. n. 30935)
Premesso che la normativa in materia di protezione dei dati personali posta dalla legge
n. 675/1996 non ha abrogato ma, anzi, ha confermato (art. 43, comma 2) le disposizioni conte-
nute nella legge n. 135/1990 in materia di A.I.D.S., va rilevato che il d.lg. 135/1999 sul tratta-
mento di dati sensibili effettuato da soggetti pubblici considera di rilevante interesse pubblico il
trattamento dei dati strettamente necessario allo svolgimento delle funzioni di controllo, di indi-
rizzo politico e di sindacato ispettivo atte a consentire l’espletamento di un mandato elettivo,
quale quello dei consiglieri comunali. Peraltro, il diritto di accesso ai dati da parte dei predetti
incontra un limite nel rispetto dei principi di pertinenza, essenzialità e compatibilità con la fun-
zione perseguita, ribaditi, anche in materia di dati sensibili, dagli artt. 1 - 5 del citato d.lg..
• Garante 8 febbraio 2001, in Bollettino n. 17, pag. 5 (v. anche www.garanteprivacy.it: doc. n. 49240)
I dati personali relativi a fenomeni di doping nello svolgimento dell’attività sportiva pos-
sono assumere la natura di dati sensibili – pur non essendo espressamente considerati tali dal-
l’art. 22, comma 1 della legge n. 675/1996 – quando il loro trattamento comprenda o faccia emer-
gere informazioni riguardanti, sotto qualunque profilo, lo stato di salute degli interessati.
• Garante 22 giugno 1998, in Bollettino n. 5, pag. 46 (v. anche www.garanteprivacy.it: doc. n. 31035)
Benché la legge n. 675/1996 e le autorizzazioni del Garante vietino la diffusione dei dati
idonei a rivelare lo stato di salute dell’interessato (con l’eccezione rappresentata dalla fattispe-
cie contenuta nell’art. 24, comma 4 della legge), tuttavia l’interessato conserva il diritto di ren-
dere pubbliche o meno, anche per interposta persona, le proprie condizioni di salute. Pertanto,
considerata la tendenza invalsa a rendere note talune circostanze relative alla forma degli atleti
impegnati nelle attività agonistiche, le società sportive, oltre ad acquisire il consenso degli atleti
a trattare i dati relativi al loro stato di salute, possono ottenere, a parte, la “delega” a rendere
pubbliche talune circostanze rilevanti per l’interesse pubblico sotteso alle attività stesse, da
individuarsi una tantum ma con precisione, anche con riferimento a determinate categorie di
informazioni.
• Garante 22 giugno 1998, in Bollettino n. 5, pag. 46 (v. anche www.garanteprivacy.it: doc. n. 31035)
A.V.I.S.
Ai sensi dell’art. 22 della legge n. 675/1996, il trattamento dei dati sensibili da parte di pri-
vati o di enti pubblici economici può avvenire soltanto con il consenso scritto e l’autorizzazione
del Garante (art. 22, comma 1), mentre qualora ad effettuare detto trattamento siano dei soggetti
pubblici è sufficiente l’esistenza di una puntuale disposizione di legge che specifichi i dati che
possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico per-
seguite (art. 22, comma 3); ne consegue che l’A.V.I.S., quale soggetto privato, ai fini del tratta-
mento dei dati idonei a rivelare lo stato di salute rilevabili dalle schede relative ai donatori di san-
gue, è tenuta ad acquisire – previa informativa ai sensi dell’art. 10 della legge – il consenso
scritto di ciascun interessato e la preventiva autorizzazione del Garante, peraltro già rilasciata
Cartelle cliniche
I dati personali oggetto d’istanza d’accesso debbono essere comunicati in forma intelligi-
bile dal titolare del trattamento che, ai fini di una più efficace applicazione dell’art. 13 della legge
n. 675/1996, ai sensi dell’art. 17, comma 9, del d.P.R. n. 501/1998 è tenuto ad adottare le oppor-
tune misure volte ad agevolare l’accesso dell’interessato. Ne consegue che dev’essere accolto il
ricorso diretto a conoscere il significato di alcuni codici utilizzati nella formulazione di una dia-
gnosi e ad ottenere una trascrizione dattiloscritta di alcune parti della documentazione conser-
vata nella cartella clinica dell’interessato, riportanti con grafia illeggibile elementi e dati perso-
nali del ricorrente stesso.
• Garante 26 marzo 2001, in Bollettino n. 18, pag. 9 (v. anche www.garanteprivacy.it: doc. n. 41910)
Ai sensi dell’art. 23, comma 2, della legge n. 675/1996, spetta al titolare del trattamento la
nomina del medico tramite il quale comunicare all’interessato i dati relativi allo stato di salute,
qualora questi dichiari di non volervi provvedere.
• Garante 13 febbraio 2001, in Bollettino n. 17, pag. 19 (v. anche www.garanteprivacy.it: doc. n. 42248)
Nell’ipotesi in cui l’interessato, nella richiesta d’accesso inoltrata ai sensi dell’art. 13 della
legge n. 675/1996, abbia specificamente indicato il nominativo di un medico fiduciario, la comu-
nicazione dei dati attinenti allo stato di salute dev’essere effettuata dal titolare del trattamento
solo per il tramite di detto medico.
• Garante 8 maggio 2001, in Bollettino n. 20, pag. 26 (v. anche www.garanteprivacy.it: doc. n. 41083)
Ai sensi dell’art. 23, comma 2, della legge n. 675/1996, la comunicazione dei dati personali
idonei a rivelare lo stato di salute può avvenire solo per il tramite di un medico designato dallo
Le perizie svolte dai consulenti tecnici nominati dall’autorità giudiziaria rientrano fra i trat-
tamenti di dati personali effettuati nell’ambito di uffici giudiziari “per ragioni di giustizia” che, ai
sensi dell’art. 4 della legge n. 675/1996, sono sottratti all’applicazione delle disposizioni che
l’art. 22 della legge detta in tema di trattamento di dati sensibili; per l’effettuazione di tali trat-
tamenti non occorre quindi acquisire previamente il consenso dell’interessato.
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 125 (v. anche www.garanteprivacy.it: doc. n. 39608)
Ai sensi dell’art. 23, comma 2 della legge n. 675/1996, i dati personali riferiti allo stato di
salute contenuti in una perizia medico legale possono essere comunicati solo per il tramite di un
medico fiduciario nominato dall’interessato o, in difetto, dal titolare del trattamento.
• Garante 30 dicembre 1999, in Bollettino n. 11/12, pag. 66 (v. anche www.garanteprivacy.it: doc. n. 40847)
Dati genetici
Qualora il benessere psico-fisico di una persona possa trovare adeguata tutela soltanto
attraverso l’accesso a dati sanitari di un terzo, contenuti in cartelle cliniche custodite da un orga-
nismo sanitario pubblico, il diritto alla riservatezza dell’interessato, nell’ambito di un’indispen-
sabile attività di bilanciamento dei contrapposti interessi, può essere oggetto di un ragionevole
sacrificio. Inoltre, in siffatta ipotesi, l’accesso ai dati non può subire preclusioni basate sulle dis-
posizioni in tema di segreto professionale, giacché la ragione della tutela della salute di colui che
aspira a conoscere dette informazioni integra gli estremi della “giusta causa” di cui all’art. 622
c.p., che legittima i sanitari ad effettuare comunicazioni normalmente coperte da segreto pro-
fessionale. In ogni caso, l’accesso ai dati resta soggetto ai principi di correttezza, pertinenza ed
essenzialità fissati dall’art. 9 della legge n. 675/1996, nonché a tutte le cautele necessarie sotto
il profilo della sicurezza del trattamento (fattispecie relativa alla richiesta di una donna, affetta
da gravissima patologia, di conoscere i dati genetici del padre, affetto da identica malattia, al
fine della valutazione del rischio procreativo).
• Garante 22 maggio 1999, in Bollettino n. 8, pag. 13 (v. anche www.garanteprivacy.it: doc. n. 39188)
Nell’ordinamento giuridico italiano manca una definizione di dato genetico. Pertanto, allo
stato, può tenersi conto della nozione di dato genetico contenuta nella raccomandazione
Il medico generico che, nell’esercizio della sua professione, sia chiamato a sostituire un
altro medico generico, ha la facoltà di utilizzare lo schedario dei pazienti formato dal collega
sostituito, purché il paziente abbia espresso sin dall’inizio uno specifico consenso al trattamento
dei dati personali sia nei confronti del medico di fiducia che in favore di eventuali suoi sostituti.
• Garante 30 giugno 1997, in Bollettino n. 1, pag. 33 (v. anche www.garanteprivacy.it: doc. n. 39320)
Il medico di base deve ottenere il consenso dell’interessato quando il trattamento dei dati
è rivolto alla cura dell’interessato stesso; il consenso non deve essere necessariamente acqui-
sito caso per caso, ma può essere richiesto dal medico una tantum, in relazione al complesso
delle attività poste in essere nei confronti dell’assistito.
• Garante 12 ottobre 1998, in Bollettino n. 6, pag. 45 (v. anche www.garanteprivacy.it: doc. n. 39524)
Ai sensi dell’art. 22, comma 1 della legge n. 675/1996, il medico di base può comunicare a
terzi i dati relativi alla salute dei propri assistiti soltanto sulla base del consenso scritto dei sin-
goli interessati.
• Garante 3 marzo 1999, in Bollettino n. 8, pag. 11 (v. anche www.garanteprivacy.it: doc. n. 42316)
Pubblicazioni scientifiche
Ai sensi dell’art. 22 della legge n. 675/1996, il trattamento dei dati sensibili da parte di pri-
vati o di enti pubblici economici può avvenire soltanto con il consenso scritto e l’autorizzazione
del Garante (art. 22, comma 1), mentre qualora ad effettuare detto trattamento siano dei soggetti
pubblici è sufficiente l’esistenza di una puntuale disposizione di legge che specifichi i dati che
possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico per-
seguite (art. 22, comma 3); ne consegue che le Ferrovie dello Stato s.p.a., quale soggetto privato,
ai fini del trattamento dei dati idonei a rivelare lo stato di salute rilevabili da parte del servizio
sanitario interno, sono tenute ad acquisire – previa informativa ai sensi dell’art. 10 della legge –
il consenso scritto di ciascun interessato (sia esso un dipendente della società oppure un terzo)
e la preventiva autorizzazione del Garante (ove il trattamento non rientri nelle ipotesi già consi-
derate dalle autorizzazioni generali per il trattamento dei dati sensibili nei rapporti di lavoro e
per il trattamento dei dati idonei a rivelare lo stato di salute).
• Garante 29 maggio 1998, in Bollettino n. 4, pag. 23 (v. anche www.garanteprivacy.it: doc. n. 39260)
Al fine di individuare i limiti all’accesso da parte delle aziende farmaceutiche, che sponso-
rizzano la sperimentazione dei farmaci, alle cartelle cliniche dei pazienti interessati, è essenziale
verificare quale rapporto intercorre tra l’azienda ospedaliera presso cui si svolge la sperimenta-
zione e l’azienda farmaceutica stessa. Ove, infatti, quest’ultima svolga unicamente il ruolo di col-
laboratore “esterno” del trattamento dei dati, le cui scelte di fondo – e le relative responsabilità
– competono all’azienda ospedaliera, quest’ultima costituisce l’esclusivo titolare del tratta-
mento, che ha la facoltà di designare l’azienda sponsor quale “responsabile del trattamento”.
L’azienda farmaceutica assume, invece, la veste di autonomo titolare o contitolare del tratta-
mento, ove ne individui le finalità e le modalità di svolgimento in condizioni di autonomia
rispetto alla struttura ospedaliera.
• Garante 18 maggio 2000, in Bollettino n. 13, pag. 32 (v. anche www.garanteprivacy.it: doc. n. 30935)
Comunicazione e diffusione
Profili generali
L’informazione originariamente non associabile ad uno specifico interessato (c.d. dato ano-
nimo) può divenire “dato personale” ex art. 1 della legge n. 675/1996 allorché, attraverso una
successiva operazione di collegamento ad informazioni di diversa natura, risulti comunque ido-
nea a rendere identificabile un soggetto. Ne consegue che, ai sensi dell’art. 27, comma 3 della
legge n. 675/1996, in mancanza di specifiche norme di legge o di regolamento, non può ritenersi
consentita la comunicazione a privati, da parte di un soggetto pubblico, di dati statistici appa-
rentemente anonimi, qualora il campione dei dati da analizzare, benché richiesto per scopi scien-
tifici e di ricerca, per genere e consistenza numerica consenta di risalire ai diretti interessati.
• Garante 23 gennaio 1998, in Bollettino n. 3, pag. 24 (v. anche www.garanteprivacy.it: doc. n. 39568)
Ai sensi dell’art. 27, comma 3 della legge n. 675/1996, la divulgazione al pubblico, da parte
dei soggetti pubblici, delle informazioni a carattere personale, può essere effettuata solo ove
prevista da disposizioni di legge o di regolamento (o anche da norme statutarie, da considerarsi,
sul piano della gerarchia delle fonti, equipollenti a quelle regolamentari).
• Garante 23 gennaio 1998, in Bollettino n. 3, pag. 28 (v. anche www.garanteprivacy.it: doc. n. 41750)
Ai sensi dell’art. 27, comma 1 della legge n. 675/1996, i soggetti pubblici non devono
richiedere il consenso degli interessati per poter trattare i relativi dati personali, ma devono sol-
tanto verificare che i singoli trattamenti e le categorie di dati siano riconducibili alle proprie fina-
lità istituzionali e siano effettuati nel rispetto di eventuali limiti previsti dalle normative di riferi-
mento o da disposizioni speciali; inoltre, il consenso non dev’essere richiesto neanche per la
comunicazione e diffusione dei dati, allorché tali operazioni siano espressamente previste da
una norma di legge o di regolamento ovvero, in via residuale, quando si rendano necessarie per
lo svolgimento delle funzioni istituzionali delle amministrazioni interessate. Resta fermo, in ogni
caso, l’obbligo d’informativa di cui all’art. 10 della legge n. 675/1996.
• Garante 13 marzo 1998, in Bollettino n. 4, pag. 62 (v. anche www.garanteprivacy.it: doc. n. 40557)
Il termine “diffusione”, dopo l’entrata in vigore della legge n. 675/1996, implica il riferi-
mento ad un numero indeterminato di persone, non la comunicazione a singoli soggetti.
• Garante 12 ottobre 1998, in Bollettino n. 6, pag. 110 (v. anche www.garanteprivacy.it: doc. n. 39680)
Ai sensi dell’art. 27, comma 3 della legge n. 675/1996, le università possono trasmettere
elenchi di studenti o di laureati a soggetti privati o ad enti pubblici economici in base alle nor-
mative generali o agli ordinamenti dei singoli atenei.
• Garante 1 febbraio 1999, in Bollettino n. 7, pag. 54 (v. anche www.garanteprivacy.it: doc. n. 30871)
A seguito dell’entrata in vigore del d.lg. n. 204/1988 (art. 6, comma 4), le università, con
autonome determinazioni, possono comunicare e diffondere dati relativi ad attività di studio e di
ricerca – con la sola esclusione dei dati sensibili o attinenti a provvedimenti giudiziari – a laureati
e dottori di ricerca per finalità di sostegno della ricerca e della collaborazione in campo scienti-
fico e tecnologico.
• Garante 1 febbraio 1999, in Bollettino n. 7, pag. 54 (v. anche www.garanteprivacy.it: doc. n. 30871)
La legge n. 390/1991 (recante norme sul diritto agli studi universitari) ed il connesso
d.P.C.M. 30 aprile 1997 (emanato ai sensi dell’art. 4 della legge n. 390/1991, recante norme
in materia di uniformità di trattamento sul diritto agli studi universitari), contenenti – tra l’al-
tro – disposizioni relative alla raccolta dei dati personali degli studenti ai fini della valuta-
zione della condizione economica del nucleo familiare d’appartenenza per la determinazione
della tassa d’iscrizione e dei contributi, costituiscono, ai sensi dell’art. 27 della legge
n. 675/1996, adeguata base normativa per procedere alla raccolta, alla comunicazione e alla
diffusione da parte delle università ad altre amministrazioni pubbliche dei dati afferenti agli
iscritti (in particolare con riferimento ai servizi ed agli interventi non destinati alla generalità
degli studenti), in quanto trattamenti riconducibili alle funzioni istituzionali delle ammini-
strazioni interessate.
• Garante 1 febbraio 1999, in Bollettino n. 7, pag. 54 (v. anche www.garanteprivacy.it: doc. n. 30871)
Alle richieste avanzate da pubbliche autorità per finalità istituzionali, ove non riconducibili
alle funzioni indicate nell’art. 4 della legge n. 675/1996, si applica la disciplina generale prevista
per i flussi informativi fra soggetti pubblici e privati (art. 27 e 20 della legge).
• Garante 6 ottobre 1999, in Bollettino n. 10, pag. 69 (v. anche www.garanteprivacy.it: doc. n. 41762)
Ai sensi dell’art. 27, comma 3, della legge n. 675/1996, i soggetti pubblici possono
comunicare dati personali a soggetti privati soltanto ove ciò sia previsto da norme di legge o
di regolamento. Il d.lg. n. 281/1999 che, nell’integrare il d.lg. n. 297/1994 (art. 330 bis), ha
disciplinato la divulgazione, da parte degli istituti scolastici di istruzione secondaria, dei dati
relativi agli studenti, può trovare applicazione anche in caso di richiesta, da parte di un
docente universitario, di elenchi di diplomati a scopo di ricerca, trattandosi di un’iniziativa
che, in quanto volta a favorire – anche con il contributo dell’indagine statistica – la formazione,
l’aggiornamento e la riqualificazione degli studenti e dei lavoratori, è riconducibile alle finalità
specificamente contemplate dall’art. 17 dello stesso decreto.
• Garante 1 febbraio 2000, in Bollettino n. 11/12, pag. 47 (v. anche www.garanteprivacy.it: doc. n. 42168)
In assenza di una formale designazione come incaricati del trattamento, i dipendenti delle
pubbliche amministrazioni che, per lo svolgimento dei propri compiti, vengono a conoscenza di
dati personali, devono essere considerati come soggetti terzi rispetto alle amministrazioni
stesse, con conseguenti rilevanti limiti per la comunicazione e l’utilizzazione dei dati e quindi per
la liceità del trattamento. Tale designazione è, infatti, indispensabile, in quanto permette di con-
siderare legittimo il flusso delle informazioni personali nell’ambito degli uffici e tra i dipendenti
dell’amministrazione titolare del trattamento (v. art. 19 della legge n. 675/1996).
• Garante 23 maggio 2000, in Bollettino n. 13, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40229)
In base alla legge n. 675/1996 (art. 27, comma 3) le amministrazioni pubbliche possono
divulgare i nominativi di contribuenti che hanno dichiarato redditi superiori ad una certa
soglia, trattandosi di informazioni la cui diffusione è prevista da una norma di legge (art. 69
del d.P.R. n. 600/1973). In base a tale normativa, i dati possono essere poi oggetto di ulteriore
circolazione a cura dei mezzi di informazione, senza che sia necessario acquisire il consenso
degli interessati (artt. 12 e 20 della legge n. 675/1996).
• Garante 13 ottobre 2000, in Bollettino n. 14/15, pag. 9 (v. anche www.garanteprivacy.it: doc. n. 41023)
Casi particolari
A.c.i.
La legge n. 675/1996 non ha introdotto il divieto per le amministrazioni e gli enti pubblici
di dare conoscibilità ai dati in loro possesso ma, all’art. 27, comma 3, stabilisce che questi sog-
getti possono diffondere i dati personali a privati o a enti pubblici economici quando ciò sia pre-
visto da norme di legge o di regolamento (nella specie, il Garante ha ritenuto che, in difetto di
un’apposita disposizione di rango primario o secondario, l’A.c.i. non possa procedere alla pub-
blicazione dell’elenco dei soggetti e dei centri autorizzati a svolgere l’attività di demolizione di
veicoli e di rimorchi).
• Garante 16 giugno 1999, in Bollettino n. 9, pag. 61 (v. anche www.garanteprivacy.it: doc. n. 30883)
L’anagrafe delle prestazioni dei dipendenti pubblici deve essere considerato archivio dete-
nuto da soggetto pubblico. Ai dati personali in essa contenuti si applicano quindi le disposizioni
dell’art. 27 della legge n. 675/1996; essi possono essere pertanto oggetto sia di accesso ai docu-
menti amministrativi in base alla legge n. 241/1990, sia di comunicazione ad altre amministra-
zioni pubbliche per lo svolgimento di funzioni istituzionali, sia di comunicazione a soggetti pri-
vati, ove previsto da precise norme di legge o di regolamento. In difetto di specifiche disposizioni
che lo consentano (cfr. art. 24, comma 1 della legge n. 412/1991), deve invece essere esclusa la
possibilità di un accesso indiscriminato da parte di chiunque.
• Garante 23 ottobre 1997, in Bollettino n. 2, pag. 28 (v. anche www.garanteprivacy.it: doc. n. 40117)
Ai sensi dell’art. 27, comma 3 della legge n. 675/1996, è illegittima la prassi degli uffici
comunali di fornire dati ed elenchi a terzi al di fuori delle modalità previste dalla disciplina dei
registri dello stato civile e degli atti anagrafici o da altra normativa.
• Garante 29 maggio 1998, in Bollettino n. 4, pag. 65 (v. anche www.garanteprivacy.it: doc. n. 41055)
Le pubblicazioni di matrimonio di cui agli artt. 93 e ss. del codice civile, consistendo uni-
camente in affissioni all’albo pretorio dei comuni di residenza dei nubendi, sono pubbliche e,
come tali, possono essere visionate da chiunque e riferite sugli organi di stampa, ma non pos-
sono essere comunicate o diffuse da parte dell’ufficiale di stato civile al di fuori dei modi espres-
samente previsti dalla normativa in materia. A fortiori, tale divieto di comunicazione e diffusione
vale per le richieste di pubblicazione che, non solo possono non sfociare nella pubblicazione
(art. 98 c.c.), ma sono annotate nell’apposito registro per il quale valgono, in via generale, le
norme stabilite dal codice civile e dal r.d. n. 1238/1939 per i registri di cittadinanza, di nascita,
di matrimonio e di morte, che non prevedono una loro libera consultabilità da parte dei privati.
È irrilevante, in ogni caso, qualsiasi consenso fornito dagli interessati alla diffusione di tali elen-
chi, vertendosi in tema di trattamento di dati operato da soggetti pubblici.
• Garante 29 maggio 1998, in Bollettino n. 4, pag. 65 (v. anche www.garanteprivacy.it: doc. n. 41055)
Mentre è possibile, ai sensi del d.P.R. n. 352/1992, la diffusione a terzi – che ne facciano
richiesta – di singole notizie relative a nascite, morti o matrimoni acquisite caso per caso dal-
l’ufficiale di stato civile, è contraria ai principi fissati dalla legge n. 675/1996 la prassi di richie-
dere al medesimo la redazione quotidiana di interi elenchi di nati, deceduti o nubendi da pub-
blicare con assiduità sugli organi di stampa.
• Garante 29 maggio 1998, in Bollettino n. 4, pag. 65 (v. anche www.garanteprivacy.it: doc. n. 41055)
Ai sensi del combinato disposto dell’art. 27 della legge n. 675/1996 e dell’art. 34 del
d.P.R. n. 223/1989, l’ufficiale dell’anagrafe può rilasciare – anche periodicamente – elenchi di
iscritti all’anagrafe della popolazione residente solo alle amministrazioni pubbliche, che ne
facciano motivata richiesta per esclusivo uso di pubblica utilità (art. 34, comma 1); al contra-
Secondo la normativa sugli atti anagrafici, l’ufficiale di anagrafe deve rilasciare, a chiun-
que ne faccia richiesta, fatte salve le limitazioni di legge, soltanto i “certificati concernenti la
residenza e lo stato di famiglia” degli iscritti (art. 33 del d.P.R. n. 223/1989), e può comunicare
i dati, in forma aggregata ed anonima, agli interessati che ne facciano richiesta per fini stati-
stici e di ricerca; può, infine, rilasciare elenchi degli iscritti alle amministrazioni pubbliche che
ne facciano motivata richiesta, per esclusivo uso di pubblica utilità (art. 34, commi 1 e 2 del
d.P.R. n. 223/1989). Considerato che, ai sensi dell’art. 27, comma 3 della legge n. 675/1996, i
soggetti pubblici possono comunicare dati personali a privati solo quando tale operazione è
prevista da puntuali norme di legge o di regolamento, risulta legittimo il diniego opposto da
un Comune alla richiesta di un partito politico di ottenere l’elenco dei “capi famiglia” residenti
nel territorio comunale, corredato dei relativi indirizzi.
• Garante 3 settembre 1998, in Bollettino n. 6, pag. 137 (v. anche www.garanteprivacy.it: doc. n. 41730)
La normativa sugli atti anagrafici prevede la possibilità per l’ufficiale di anagrafe di rila-
sciare, anche periodicamente, elenchi di iscritti nell’anagrafe della popolazione residente alle
amministrazioni pubbliche che ne facciano motivata richiesta, “per esclusivo uso di pubblica uti-
lità” (art. 34, comma 1 del d.P.R. n. 223/1989). Ne consegue che, in conformità con la speciale
disciplina prevista per i soggetti pubblici dall’art. 27, comma 2 della legge n. 675/1996, i comuni
possono comunicare alla A.S.L. tali elenchi al fine di effettuare uno screening dei tumori, prove-
nendo la richiesta da un soggetto pubblico per un fine di pubblica utilità.
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 78 (v. anche www.garanteprivacy.it: doc. n. 39268)
Con riferimento alla c.d. “anagrafe consolare”, la disciplina anagrafica di cui al d.P.R.
n. 223/1989 è applicabile – in quanto compatibile – soltanto in relazione ai dati relativi all’i-
scrizione nello schedario dei cittadini residenti nella circoscrizione consolare (dati anagrafici e
professionali) e non anche per altri dati ivi contenuti (atti o fatti relativi allo status di cittadino,
al godimento dei diritti civili e politici, ecc.) che, per espressa disposizione di legge, possono
essere utilizzati dall’ufficio consolare per “finalità di tutela degli interessi del connazionale”
(art. 67, u.c.). Pertanto, questi ultimi dati sono divulgabili a terzi nei limiti in cui ciò sia even-
tualmente previsto da specifiche disposizioni normative diverse da quelle relative al rilascio
degli atti anagrafici, ferma restando, in ogni caso, l’eventuale loro comunicabilità ove ricorrano
i presupposti di cui all’art. 27, commi 2 e 3 della legge n. 675/1996.
• Garante 18 maggio 1999, in Bollettino n. 8, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 39636)
La diffusione, da parte degli uffici comunali, dei dati mediante affissione all’albo pretorio
delle pubblicazioni matrimoniali è lecita anche dopo l’entrata in vigore della legge n. 675/1996,
in quanto l’art. 93 c.c., che fissa un obbligo in tal senso a carico dell’ufficiale di stato civile, rap-
presenta una delle disposizioni che, ai sensi dell’art. 27, comma 3 della legge, rende legittima la
pubblicazione diretta a rendere nota la volontà dei nubendi di contrarre matrimonio e a consen-
tire agli interessati di manifestare eventuali opposizioni. Dette pubblicazioni, comunque, visio-
nabili da chiunque e, eventualmente, anche riferibili da parte degli organi di stampa, non pos-
sono essere comunicate o diffuse da parte dell’ufficiale di stato civile al di fuori dei modi previ-
sti dalla normativa in materia.
• Garante 17 febbraio 2000, in Bollettino n. 11/12, pag. 20 (v. anche www.garanteprivacy.it: doc. n. 38969)
La legge n. 675/1996, recante norme in materia di protezione dei dati personali, non ha
modificato direttamente la normativa relativa ai registri dello stato civile e alla disciplina degli
atti anagrafici, né ha introdotto ulteriori divieti di rendere conoscibili le informazioni in que-
Gli archivi anagrafici non permettono un prelevamento diretto dei dati, fuori dai casi
espressamente consentiti; inoltre, i dati anagrafici, a parte le certificazioni rilasciabili a chiunque
ne faccia richiesta, possono essere comunicati all’esterno solo a pubbliche amministrazioni e per
“esclusivo uso di pubblica utilità” (art. 34, comma 1, del d.P.R. n. 223/1989).
• Garante 20 giugno 2000, in Bollettino n. 13, pag. 11 (v. anche www.garanteprivacy.it: doc. n. 40441)
L’accesso, costante e indiscriminato, da parte dei privati a tutte le informazioni non sensi-
bili contenute nella banca dati anagrafica di un Comune è precluso in radice e non può essere
disposto dall’ente locale chiedendo il consenso degli interessati alla comunicazione dei propri
dati personali. Le disposizioni del regolamento anagrafico prevedono, infatti, la comunicazione
(e non la diffusione) dei dati anagrafici solo ad amministrazioni pubbliche, e non anche ai privati,
e per soli fini di pubblica utilità (art. 34 del d.P.R. n. 223/1989).
• Garante 5 dicembre 2000, in Bollettino n. 14/15, pag. 22 (v. anche www.garanteprivacy.it: doc. n. 40273)
Le Agenzie regionali per l’impiego istituite dalla legge n. 56/1987, in quanto soggetti
pubblici, soggiacciono alla speciale disciplina prevista dagli artt. 27 e 22, comma 3 della legge
n. 675/1996, che consentono il trattamento dei dati solo se previsto da apposite previsioni di
legge. Ne consegue che va esclusa la possibilità di rendere pubbliche le liste di mobilità in
favore di aziende o associazioni di categoria che ne facciano richiesta, in quanto la normativa
di settore (artt. 6 e ss. della legge n. 223/1991; d.lg. n. 469/1997; decreto del Ministero del
lavoro dell’8 maggio 1998, pubblicato sulla G.U. del 6 giugno 1998) prevede un obbligo di con-
nessione e di scambio dei dati solo tra soggetti specificamente individuati (Ministero del
lavoro, regioni, enti locali, imprese di fornitura di lavoro temporaneo e soggetti autorizzati alla
mediazione tra domanda e offerta di lavoro).
• Garante 12 ottobre 1998, in Bollettino n. 6, pag. 55 (v. anche www.garanteprivacy.it: doc. n. 42272)
Il d.lg. 24 luglio 1992, n. 358, recante il “Testo unico delle disposizioni in materia di
appalti pubblici di forniture”, prevede che le imprese partecipanti alle gare d’appalto possano
comprovare i propri requisiti tecnici anche attraverso la produzione di appositi documenti, tra
cui l’elenco attestante le principali forniture effettuate negli ultimi tre anni, corredato dall’in-
dicazione degli importi corrispondenti, della data e del destinatario della fornitura. Ne conse-
gue che, qualora dalla suddetta documentazione emergano informazioni afferenti a distinte
società con cui in precedenza l’attuale concorrente abbia instaurato rapporti negoziali, la con-
nessa comunicazione di dati non solo è conforme alle specifiche disposizioni del d.lg.
358/1992, ma è comunque rispettosa dei principi di cui alla legge n. 675/1996, trattandosi di
dati relativi allo svolgimento di attività economiche del titolare del trattamento che, ai sensi
dell’art. 20, comma 1, lett. e), non sono soggetti alla preventiva acquisizione del consenso del-
l’interessato.
• Garante 27 giugno 2001, in Bollettino n. 21, pag. 6 (v. anche www.garanteprivacy.it: doc. n. 40667)
Camere di commercio
Le richieste di accesso presentate alle Camere di commercio dalle parti interessate alle
procedure di gara per appalti d’opera o di fornitura (in specie, alle singole offerte) debbono
essere valutate con riferimento alla legge n. 241/1990 (che riconosce il diritto di accesso ai
documenti amministrativi a chi è titolare di un interesse personale e concreto in relazione alla
tutela di situazioni giuridicamente rilevanti) e alla specifica normativa vigente in materia di
appalti (d.lg. n. 358/1992 e d.lg. n. 157/1995), che contempera il principio di trasparenza del
procedimento con il principio di pertinenza e non eccedenza affermato dalla legge n. 675/1996
(art. 9).
• Garante 8 giugno 1998, in Bollettino n. 6, pag. 10 (v. anche www.garanteprivacy.it: doc. n. 40185)
Collocamento
Ai sensi dell’art. 27, comma 3 della legge n. 675/1996, gli uffici di collocamento, in
quanto soggetti pubblici, possono comunicare o diffondere dati a privati solo se ciò sia previ-
sto da una norma di legge o di regolamento. In tale ottica, il d.lg. n. 469/1997, istitutivo del
SIL - Sistema informativo lavoro, prevedendo un obbligo di connessione e di scambio di dati
relativi ai lavoratori tra Ministero del lavoro, regioni, enti locali e soggetti autorizzati alla
mediazione tra domanda ed offerta di lavoro, ha reso possibile l’accesso alle banche dati,
mediante convenzione, anche alle imprese di fornitura di lavoro temporaneo ed ai soggetti
autorizzati a detta mediazione (art. 11, commi 3, 4 e 5). Al contrario, allo stato attuale, nel-
l’ambito della disciplina sul collocamento al lavoro non sussistono ulteriori norme che per-
Comuni e province
Ai sensi dell’art. 27, comma 2 della legge n. 675/1996, il centro sociale, quale struttura
facente capo direttamente all’amministrazione comunale, è legittimato ad acquisire informazioni
presso gli uffici finanziari, gli enti previdenziali ed i singoli comuni di provenienza per verificare
la posizione reddituale e patrimoniale degli ospiti.
• Garante 29 maggio 1998, in Bollettino n. 4, pag. 69 (v. anche www.garanteprivacy.it: doc. n. 40799)
Considerato che la legge n. 675/1996 autorizza la comunicazione di dati personali fra sog-
getti pubblici, fra l’altro, quando ciò sia necessario per lo svolgimento delle relative funzioni isti-
tuzionali (art. 27, comma 2), deve ritenersi legittima, perché rispondente alle funzioni istituzio-
nali sia del Comune, sia del soggetto pubblico destinatario, la comunicazione dei dati personali
contenuti nell’archivio I.C.I. di un comune al Comando della locale Guardia di finanza, che ne
abbia fatto richiesta per lo svolgimento delle indagini di polizia tributaria relative alle dichiara-
zioni presentate ai fini dell’imposta comunale sugli immobili.
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 138 (v. anche www.garanteprivacy.it: doc. n. 39372)
Ai sensi dell’art. 27, comma 1 della legge n. 675/96, la provincia può acquisire dai comuni
e da altre amministrazioni pubbliche (es.: il Corpo dei Vigili del fuoco e l’I.s.p.e.s.l.) le informa-
zioni necessarie per espletare l’attività di controllo sulla manutenzione e l’esercizio degli
impianti termici, purché ciò avvenga nel rispetto della specifica disciplina applicabile alle singole
amministrazioni (es.: per gli atti anagrafici, l’art. 34 del regolamento anagrafico della popola-
zione residente, approvato con d.P.R. n. 223/1989).
• Garante 14 gennaio 1999, in Bollettino n. 7, pag. 53 (v. anche www.garanteprivacy.it: doc. n. 42118)
Nel disciplinare per regolamento la conoscibilità delle informazioni in suo possesso, l’ente
locale (nella specie il comune) può contemplarne la diretta divulgabilità tramite riviste e noti-
ziari, anche telematici, curati dall’ente stesso. Poiché la loro pubblicazione ricade nell’ampia
nozione di trattamento finalizzato “esclusivamente alla pubblicazione occasionale di articoli,
saggi o altre manifestazioni del pensiero”, l’ente locale deve tenere conto della disciplina del
trattamento dei dati a fini giornalistici e di divulgazione anche temporanea delle manifestazioni
del pensiero prevista dall’art. 25 della legge n. 675/1996.
• Garante 23 maggio 2000, in Bollettino n. 13, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40229)
La legge n. 675/1996 non ha modificato la disciplina legislativa sulla pubblicità degli albi
V.: PRIVATI ED ENTI PUBBLICI ECONOMICI > SETTORI DI ATTIVITÀ > ATTIVITÀ GIORNALISTICA > CASI
PARTICOLARI > DATI REDDITUALI DEI CONTRIBUENTI (P. 86)
Forze di polizia
La raccolta delle foto segnaletiche da parte degli organi di polizia è finalizzata esclusiva-
mente ad esigenze di sicurezza pubblica e di giustizia; ne consegue che, ove la comunicazione
di dette foto ai mezzi d’informazione avvenga al di fuori di tali finalità, deve ritenersi violata la
legge n. 675/1996 che, all’art. 1, qualifica esplicitamente come “dato personale” qualsiasi infor-
mazione idonea a consentire l’identificazione di un soggetto.
• Garante 2 luglio 1997, in Bollettino n. 1, pag. 62 (v. anche www.garanteprivacy.it: doc. n. 38985)
Alla luce delle disposizioni del d.P.R. n. 1068/1953 sull’ordinamento della professione di
ragioniere e perito commerciale (in specie l’art. 29), e tenuto conto che gli albi dei liberi profes-
sionisti sono ispirati per loro stessa natura e funzione ad un regime di piena pubblicità, anche in
funzione della tutela dei diritti di coloro che a vario titolo hanno rapporti con gli iscritti, deve rite-
nersi consentito al Consiglio dell’Ordine di comunicare e di diffondere a privati i dati personali
contenuti nell’albo (art. 29 del d.P.R. cit.; art. 27, comma 3 della legge n. 675/1996).
• Garante 23 giugno 1998, in Bollettino n. 5, pag. 12 (v. anche www.garanteprivacy.it: doc. n. 39901)
La legge n. 675/1996 non ha modificato la disciplina relativa alla tenuta ed alla conoscibi-
lità degli albi professionali, i quali sono ispirati per loro stessa natura e funzione ad un regime di
pubblicità, anche in ragione della tutela dei diritti di coloro che, a vario titolo, hanno rapporti con
gli iscritti all’albo.
• Garante 29 marzo 1999, in Bollettino n. 8, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 40161)
Questionari R.a.i.
Con riferimento alle comunicazioni inviate dalla R.a.i., ai fini del pagamento del canone,
alle persone che non risultano presenti negli elenchi degli abbonati al servizio radiotelevisivo, la
società, al fine della scrupolosa protezione del diritto alla riservatezza dei destinatari, deve adot-
tare misure idonee ad evitare l’inutile divulgazione di dati personali compiuta attraverso la resti-
tuzione del questionario, contenente anche dati di terzi (familiari o conviventi già abbonati), in
una cartolina leggibile da chiunque, anziché in una busta chiusa o con modalità che, comunque,
non ne rendano possibile una facile ed immediata consultazione da parte di estranei.
• Garante 12 luglio 2000, in Bollettino n. 13, pag. 38 (v. anche www.garanteprivacy.it: doc. n. 30923)
Ai fini dell’istruttoria delle istanze dirette ad ottenere il riconoscimento del titolo di mae-
stro di sci in Italia da parte di coloro che lo abbiano conseguito all’estero, i dati personali dei
richiedenti possono essere comunicati alla Federazione Italiana Sport Invernali ed al Collegio
nazionale maestri di sci; infatti, la legge n. 81/1991, dispone che le regioni disciplinano l’eserci-
zio non saltuario, nel proprio territorio, dell’attività dei maestri di sci stranieri non iscritti in albi
regionali italiani, mentre l’autorizzazione all’esercizio della professione è subordinata al ricono-
scimento, demandato alla Federazione Italiana Sport Invernali, d’intesa con il Collegio nazionale
dei maestri di sci, dell’equivalenza dei titoli e della reciprocità. Pertanto, stante la natura preva-
lente di soggetti privati delle federazioni sportive, e costituendo la legge n. 81/1991 una ade-
guata base normativa in materia, la comunicazione dei dati in questione risulta lecita ai sensi
dell’art. 27, comma 3, della legge n. 675/1996.
• Garante 4 marzo 1999, in Bollettino n. 8, pag. 56 (v. anche www.garanteprivacy.it: doc. n. 41095)
Tenuto conto che la legge n. 675/1996, all’art. 43, comma 2, ha fatto salve, in quanto com-
patibili, le disposizioni del d.lg. n. 322/1989 (recante norme sul Sistema statistico nazionale),
che fa obbligo alle pubbliche amministrazioni di fornire all’Istat ogni informazione che venga
richiesta, devono ritenersi assolte le condizioni poste dall’art. 27, comma 2 della stessa legge
n. 675/1996 – che autorizza la comunicazione di dati fra soggetti pubblici quando, fra l’altro, ciò
sia previsto da una norma di legge o di regolamento – in caso di trasmissione all’Istat, da parte
di una università statale, degli elenchi dei laureati, finalizzata al compimento di una indagine sta-
tistica sul loro inserimento professionale.
• Garante 26 ottobre 1998, in Bollettino n. 6, pag. 135 (v. anche www.garanteprivacy.it: doc. n. 42292)
La disciplina delle modalità di utilizzo delle banche dati pubbliche da parte delle varie
amministrazioni deve essere contenuta in norme di legge o di regolamento, in conformità alle
condizioni previste dall’art. 27 della legge n. 675/1996, al fine di realizzare un trasparente flusso
di dati ispirato ad omogenei criteri che garantiscano la protezione dei dati medesimi nel rispetto
dei principi di pertinenza, completezza e non eccedenza sanciti dall’art. 9, lett. d) della legge.
• Garante 4 marzo 1999, in Bollettino n. 8, pag. 16 (v. anche www.garanteprivacy.it: doc. n. 41187)
Il regime di pubblicità delle dichiarazioni dei redditi presentate dai componenti del
Consiglio e della Giunta comunale, ove previsto da norme statutarie, è conforme ai principi sta-
biliti dall’art. 27, comma 3 della legge n. 675/1996.
• Garante 8 gennaio 1998, in Bollettino n. 3, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 30863)
La legge n. 675/1996 non ha modificato le disposizioni della legge n. 441/1982 sulla pub-
blicità della situazione patrimoniale dei titolari di alcune cariche elettive o direttive che, per
effetto della legge n. 127/1997, trovano applicazione anche nei confronti del personale dirigen-
ziale – o equiparato – delle amministrazioni pubbliche.
• Garante 14 gennaio 1999, in Bollettino n. 7, pag. 15 (v. anche www.garanteprivacy.it: doc. n. 42228)
Uffici giudiziari
• V.: SOGGETTI PUBBLICI > TRATTAMENTI PARTICOLARI > TRATTAMENTI PER RAGIONI DI GIUSTIZIA >
UFFICI GIUDIZIARI (P. 173)
Trattamenti particolari
Ai sensi dell’art. 10 della legge n. 121/1981, come riformulato dall’art. 42 della legge
n. 675/1996, gli interessati possono esercitare direttamente il diritto di accesso ai dati che li
riguardano detenuti dal Centro elaborazione dati del Dipartimento di pubblica sicurezza, anche
TRATTAMENTI PARTICOLARI > CENTRO ELABORAZIONE DATI DEL DIPARTIMENTO DI PUBBLICA SICUREZZA 175
al fine di chiedere la correzione o la cancellazione dei dati che risultassero inesatti o incompleti,
oppure trattati in violazione di legge o di regolamento.
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 41 (v. anche www.garanteprivacy.it: doc. n. 41990)
Allo stato della normativa, ai sensi dell’art. 4, comma 1, lett. a), della legge n. 675/1996, ai
trattamenti di dati effettuati dal Centro elaborazione dati del Dipartimento di pubblica sicurezza
si applicano soltanto alcune disposizioni della legge sulla privacy, fra le quali non sono ricom-
presi l’art. 13 e l’art. 29; ne consegue che l’interessato, con riferimento a detti trattamenti, ha
soltanto la facoltà alternativa di sollecitare – a mezzo di segnalazione o reclamo – una verifica
del Garante sulla rispondenza degli stessi ai requisiti stabiliti dalla legge o dai regolamenti,
ovvero di rivolgersi al Tribunale ai sensi dell’art. 10, comma 5, della legge n. 121/1981 per otte-
nere l’eventuale rettifica, integrazione e cancellazione dei dati o la loro trasformazione in forma
anonima. Pertanto, l’eventuale ricorso proposto ai sensi dell’art. 29 della legge n. 675/1996 è
inammissibile.
• Garante 14 marzo 2001, in Bollettino n. 18, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 30955)
Organismi di sicurezza
La legge n. 675/1996 ha demandato al Garante il compito di verificare la conformità dei
trattamenti dei dati svolti dagli organismi di sicurezza di cui alla legge n. 801/1977 alle dispo-
sizioni di legge e di regolamento (art. 31, comma 1, lett. p) e 32, commi 6 e 7, in relazione
all’art. 4, comma 1, lett. b)).
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 79 (v. anche www.garanteprivacy.it: doc. n. 42030)
La legislazione sulla protezione dei dati personali non ha innovato la disciplina sulla
conoscibilità degli esiti dei procedimenti, sul calendario dei processi e sulla pubblicità delle
udienze, trattandosi di materia specificamente regolata dalle norme processuali preesistenti.
• Garante 6 aprile 1998, in Bollettino n. 4, pag. 84 (v. anche www.garanteprivacy.it: doc. n. 39380)
Tra i trattamenti di dati personali effettuati dagli uffici giudiziari si possono distinguere
quelli per scopi “amministrativi” e quelli svolti, ai sensi dell’art 4, comma 1, lett. d) della legge
n. 675/1996, “per ragioni di giustizia”. Ai primi si applica compiutamente la disciplina prevista
dalla legge n. 675/1996 per i trattamenti effettuati dai soggetti pubblici; i secondi, invece,
sono assoggettati alle sole norme richiamate al comma 2 dell’art. 4 della legge. Anche i trat-
tamenti attinenti all’attività amministrativa concernente il personale di magistratura (consi-
stenti, ad esempio, nella raccolta e nella conservazione dei dati contenuti nei fascicoli perso-
nali dei magistrati) vanno quindi considerati, alla stregua di quelli che riguardano ogni altro
dipendente pubblico, soggetti alla normale disciplina della legge n. 675/1996.
• Garante 23 giugno 1998, in Bollettino n. 5, pag. 15 (v. anche www.garanteprivacy.it: doc. n. 30891)
Nei confronti dei trattamenti dei dati effettuati per “ragioni di giustizia” nell’ambito
degli uffici giudiziari trovano applicazione solamente le disposizioni enumerate nel comma 2
dell’art. 4 della legge n. 675/1996, fra le quali non figurano l’art. 13 e l’art. 29 della legge
stessa; pertanto, il ricorso eventualmente proposto ai sensi dell’art. 29 è inammissibile (fat-
tispecie relativa al trattamento dei dati effettuato da parte dell’autorità giudiziaria inquirente
in sede di indagini preliminari).
• Garante 18 novembre 1998, in Bollettino n. 6, pag. 94 (v. anche www.garanteprivacy.it: doc. n. 41203)
Le perizie svolte dai consulenti tecnici nominati dall’autorità giudiziaria rientrano fra i trat-
tamenti di dati personali effettuati nell’ambito di uffici giudiziari “per ragioni di giustizia” che, ai
sensi dell’art. 4 della legge n. 675/1996, sono sottratti all’applicazione delle disposizioni che
l’art. 22 della legge detta in tema di trattamento di dati sensibili; per l’effettuazione di tali trat-
tamenti non occorre quindi acquisire previamente il consenso dell’interessato.
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 125 (v. anche www.garanteprivacy.it: doc. n. 39608)
Le richieste di dati personali per esigenze di polizia giudiziaria sono riconducibili ai trat-
tamenti disciplinati dall’art. 4 della legge n. 675/1996 (“Particolari trattamenti in ambito pub-
blico”), sia quando sono formulate nell’ambito di attività delegate dall’autorità giudiziaria
(art. 4, comma 1, lett. d)), sia quando derivano da un’attività investigativa o d’indagine di ini-
ziativa degli organi di polizia (art. 4, comma 1, lett. e) e artt. 347 e ss. c.p.p.); ad esse, pertanto,
deve darsi corso in base alle relative norme del codice di procedura penale.
• Garante 6 ottobre 1999, in Bollettino n. 10, pag. 69 (v. anche www.garanteprivacy.it: doc. n. 41762)
Benché le norme processuali non siano state ancora rivisitate in dettaglio per essere inte-
grate e modificate alla luce dei nuovi principi in materia di trattamento dei dati personali, la
legge n. 675/1996 ha comunque reso immediatamente applicabili all’attività svolta “per ragioni
di giustizia” presso gli uffici giudiziari alcuni obblighi sulle modalità e sulla sicurezza del tratta-
mento, tra cui quelli di correttezza e di pertinenza sanciti dall’art. 9 e quelli sulle misure di sicu-
rezza fissati dal d.P.R. n. 318/1999.
• Garante 21 febbraio 2000, in Bollettino n. 11/12, pag. 9 (v. anche www.garanteprivacy.it: doc. n. 40237)
La circostanza che non tutti i principi posti dalla legge n. 675/1996 siano stati ulterior-
mente sviluppati sul piano normativo in relazione alle attività di giustizia non deve far ritenere
inoperanti detti principi, che dovrebbero essere attualmente tradotti in concrete misure attua-
tive anche di carattere organizzativo, opportunamente modulate in rapporto alle diverse
vicende processuali. In questa prospettiva, si pone una recente tendenza dell’ordinamento a
tutelare in ogni sede, in modo particolarmente rigoroso, la dignità e la riservatezza di persone
sieropositive o malate di A.I.D.S. o emotrasfusi, come dimostrato, oltre che dall’art. 286 bis del
c.p.p. in tema di custodia cautelare in caso di infezione da H.I.V. o di A.I.D.S., anche da specifi-
che disposizioni di settore che, pur non individuando specifiche cautele processuali, impon-
gono, a seconda dei casi, agli operatori sanitari o a “chiunque” venga a conoscenza di partico-
lari infezioni nell’esercizio delle proprie funzioni, di adottare, nell’ambito delle proprie compe-
tenze, tutte le misure occorrenti per la tutela della riservatezza della persona assistita (art. 5
L’art. 270, comma 1, c.p.p., concernente l’inutilizzabilità dei risultati delle intercettazioni
telefoniche in determinati procedimenti penali, prevede una limitazione all’uso di tali elementi
di prova solo in altri procedimenti penali. La stessa disposizione, invece, non preclude in linea
generale l’utilizzazione dei medesimi risultati – se lecitamente acquisiti in base al codice – in
procedimenti diversi da quello penale, come quello di tipo disciplinare. Tale comunicazione di
dati personali da parte dell’autorità giudiziaria non viola l’art. 27, comma 2, della legge
n. 675/1996, considerato che ai trattamenti svolti da parte degli uffici giudiziari si applicano
solo alcune disposizioni in materia di protezione dei dati personali, specificamente enumerate
nell’art. 4, comma 2, della medesima legge, tra cui non figura l’art. 27.
• Garante 27 giugno 2001, in Bollettino n. 21, pag. 18 (v. anche www.garanteprivacy.it: doc. n. 40213)
Al trattamento di dati personali operato, per ragioni di giustizia, da una Procura della
Repubblica, non si applicano, ai sensi dell’art. 4, comma 1, lett. d), della legge n. 675/1996, gli
artt. 13 e 29 della legge. Il ricorso presentato ai sensi dell’art. 29 è, quindi, inammissibile, salva
la possibilità per l’interessato di inviare al Garante una segnalazione o un reclamo per chiedere
la verifica della rispondenza del trattamento ai requisiti stabiliti dalla legge o dai regolamenti
(artt. 31, comma 1, lett. d) e p) e 32 della legge n. 675/1996, in relazione all’art. 4, comma 1 della
legge).
• Garante 25 ottobre 2001, in Bollettino n. 23, pag. 19 (v. anche www.garanteprivacy.it: doc. n. 40739)
Anche in relazione ai trattamenti di dati personali effettuati dal Consiglio Superiore della
Magistratura deve essere operata una puntuale distinzione fra trattamenti operati per scopi
“amministrativi“ e quelli che, avendo riflessi diretti sul piano giudiziario, debbono essere consi-
derati svolti “per ragioni di giustizia“ (art. 4, comma 1 della legge n. 675/1996). Questi ultimi
sono assoggettati alle sole disposizioni della legge n. 675/1996 indicate nell’art. 4, comma 2,
mentre i primi sono inclusi per intero nell’ambito applicativo della legge.
• Garante 2 dicembre 1997, in Bollettino n. 2, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 38929)
Nella nozione di trattamento di dati personali dell’interessato svolto per ragioni di giustizia
(art. 4, comma 1, lett. d),della legge n. 675/1996) rientra anche quello effettuato dagli uffici giu-
diziari e dal Consiglio superiore della magistratura attinente alla responsabilità disciplinare di un
magistrato in relazione ad una vicenda giudiziaria che coinvolga l’interessato stesso. Pertanto,
L’acquisizione, da parte di una Procura della Repubblica, delle cartelle cliniche di alcuni
giocatori di calcio a mezzo di personale ispettivo di un’A.S.L. è conforme ai principi sanciti dalla
legge n. 675/1996, in quanto effettuato, anche per le specifiche modalità con cui si sono svolti i
controlli, nell’ambito di un’attività comunque riconducibile alle ipotesi delineate dall’art. 4,
comma 1, lett. e) della legge.
• Garante 9 gennaio 1999, in Bollettino n. 7, pag. 37 (v. anche www.garanteprivacy.it: doc. n. 40891)
I principi di pertinenza e non eccedenza nel trattamento dei dati personali sanciti dal-
l’art. 9 della legge n. 675/1996 obbligano anche gli organi di polizia e l’autorità giudiziaria a svol-
gere l’attività di raccolta, utilizzazione e divulgazione dei dati con modalità tali da non recare agli
interessati un pregiudizio ingiustificato rispetto alle finalità perseguite. Non appare rispettosa di
detti principi la divulgazione, da parte della polizia giudiziaria, attraverso organi di informazione,
di alcuni dati personali (fotografie e generalità) di una prostituta, che sia stato accertato essere
affetta dal virus dell’H.I.V., al fine di informare le persone che avevano avuto con la stessa rap-
porti a rischio, potendo la finalità informativa essere raggiunta, tenuto conto anche delle speci-
fiche garanzie di riservatezza approntate per i soggetti sieropositivi dalla legge n. 135/1990,
attraverso procedure più selettive, basate, ad esempio, sulla notizia della sieropositività di una
Le richieste di dati personali per esigenze di polizia giudiziaria sono riconducibili ai tratta-
menti disciplinati dall’art. 4 della legge n. 675/1996 (“Particolari trattamenti in ambito pub-
blico”), sia quando sono formulate nell’ambito di attività delegate dall’Autorità giudiziaria (art. 4,
comma 1, lett. d)), sia quando derivano da un’attività investigativa o d’indagine di iniziativa degli
organi di polizia (art. 4, comma 1, lett. e) e artt. 347 e ss. c.p.p.); ad esse, pertanto, deve darsi
corso in base alle relative norme del codice di procedura penale.
• Garante 6 ottobre 1999, in Bollettino n. 10, pag. 69 (v. anche www.garanteprivacy.it: doc. n. 41762)
Le Agenzie regionali per l’impiego istituite dalla legge n. 56/1987, in quanto soggetti pubblici,
soggiacciono alla speciale disciplina prevista dagli artt. 27 e 22, comma 3 della legge n. 675/1996,
che consentono il trattamento dei dati solo se previsto da apposite previsioni di legge. Ne conse-
gue che va esclusa la possibilità di rendere pubbliche le liste di mobilità in favore di aziende o asso-
ciazioni di categoria che ne facciano richiesta, in quanto la normativa di settore (artt. 6 e ss. della
legge n. 223/1991; d.lg. n. 469/1997; decreto del Ministero del lavoro dell’8 maggio 1998, pubbli-
cato sulla G.U. del 6 giugno 1998) prevede un obbligo di connessione e di scambio dei dati solo tra
soggetti specificamente individuati (Ministero del lavoro, regioni, enti locali, imprese di fornitura di
lavoro temporaneo e soggetti autorizzati alla mediazione tra domanda e offerta di lavoro).
• Garante 12 ottobre 1998, in Bollettino n. 6, pag. 55 (v. anche www.garanteprivacy.it: doc. n. 42272)
Ai fini dell’applicazione della legge n. 675/1996, la società che gestisce il servizio telefonico
non può essere considerata come un soggetto pubblico (principio affermato in fattispecie di richie-
sta da parte del Ministero delle telecomunicazioni alla T.I.M. s.p.a. di comunicare dati anagrafici,
All’Ufficio italiano cambi si applica la particolare disciplina prevista, per i soggetti pubblici,
dall’art. 27 della legge n. 675/1996 in materia di operazioni di trattamento dei dati personali, ivi
comprese quelle inerenti alla loro comunicazione e diffusione (fattispecie relativa alla raccolta,
comunicazione e diffusione dei dati relativi all’anagrafe dei valori mobiliari, disciplinate dal d.P.R.
n. 148/1998).
• Garante 26 luglio 1999, in Bollettino n. 9, pag. 65 (v. anche www.garanteprivacy.it: doc. n. 40991)
L’Ufficio per la mediazione penale di Milano, costituito su iniziativa di più soggetti pubblici in
base ad un protocollo d’intesa, è strutturalmente dotato di caratteristiche tali da consentirne
l’ascrizione alla sfera degli organismi pubblici che, operando per finalità di assistenza sociale, spe-
cie in favore di minori, possono trattare dati di carattere personale per il perseguimento delle pro-
prie funzioni istituzionali.
• Garante 17 febbraio 2000, in Bollettino n. 11/12, pag. 50 (v. anche www.garanteprivacy.it: doc. n. 40675)
Casi particolari
Anagrafe e stato civile
La legge n. 675/1996 non ha modificato la normativa concernente la tenuta dei registri dello
stato civile e quella relativa alle anagrafi della popolazione, così come rispettivamente delineate
dal r.d. n. 1238/1939, dal codice civile, dalla legge 24 dicembre 1954 n. 1228, dal d.P.R. n. 223/1989
e dalla legge n. 127/1997. Pertanto, ai sensi dell’art. 27, commi 2 e 3 della legge n. 675/1996, è
lecito il rilascio a terzi, da parte del Comune, di certificazioni anagrafiche, purché risultino osservati
i limiti stabiliti in materia dagli artt. 33, 34 e 35 del d.P.R. n. 223/1989; al contrario, deve ritenersi
illegittima la prassi di un Comune di fornire dati ed elenchi a terzi (nel caso di specie i nominativi
dei nati e dei deceduti nel territorio comunale alle redazioni dei giornali locali) al di fuori delle
modalità previste dalla disciplina dei registri dello stato civile, degli atti anagrafici o di altra nor-
mativa.
• Garante 22 luglio 1997, in Bollettino n. 1, pag. 43 (v. anche www.garanteprivacy.it: doc. n. 30927)
REGIMI PARTICOLARI DI PUBBLICITÀ DEGLI ATTI > CASI PARTICOLARI > 183
ANAGRAFE E STATO CIVILE
Ai sensi dell’art. 27, comma 3 della legge n. 675/1996, è illegittima la prassi degli uffici
comunali di fornire dati ed elenchi a terzi al di fuori delle modalità previste dalla disciplina dei
registri dello stato civile e degli atti anagrafici o da altra normativa.
• Garante 29 maggio 1998, in Bollettino n. 4, pag. 65 (v. anche www.garanteprivacy.it: doc. n. 41055)
Mentre è possibile, ai sensi del d.P.R. n. 352/1992, la diffusione a terzi – che ne facciano
richiesta – di singole notizie relative a nascite, morti o matrimoni acquisite caso per caso dal-
l’ufficiale di stato civile, è contraria ai principi fissati dalla legge n. 675/1996 la prassi di richie-
dere al medesimo la redazione quotidiana di interi elenchi di nati, deceduti o nubendi da pub-
blicare con assiduità sugli organi di stampa.
• Garante 29 maggio 1998, in Bollettino n. 4, pag. 65 (v. anche www.garanteprivacy.it: doc. n. 41055)
Le pubblicazioni di matrimonio di cui agli artt. 93 e ss. del codice civile, consistendo uni-
camente in affissioni all’albo pretorio dei comuni di residenza dei nubendi, sono pubbliche e,
come tali, possono essere visionate da chiunque e riferite sugli organi di stampa, ma non pos-
sono essere comunicate o diffuse da parte dell’ufficiale di stato civile al di fuori dei modi espres-
samente previsti dalla normativa in materia. A fortiori, tale divieto di comunicazione e diffusione
vale per le richieste di pubblicazione che, non solo possono non sfociare nella pubblicazione
(art. 98 c.c.), ma sono annotate nell’apposito registro per il quale valgono, in via generale, le
norme stabilite dal codice civile e dal r.d. n. 1238/1939 per i registri di cittadinanza, di nascita, di
matrimonio e di morte, che non prevedono una loro libera consultabilità da parte dei privati. È
irrilevante, in ogni caso, qualsiasi consenso fornito dagli interessati alla diffusione di tali elen-
chi, vertendosi in tema di trattamento di dati operato da soggetti pubblici.
• Garante 29 maggio 1998, in Bollettino n. 4, pag. 65 (v. anche www.garanteprivacy.it: doc. n. 41055)
Ai sensi del combinato disposto dell’art. 27 della legge n. 675/1996 e dell’art. 34 del d.P.R.
n. 223/1989, l’ufficiale dell’anagrafe può rilasciare – anche periodicamente – elenchi di iscritti
all’anagrafe della popolazione residente solo alle amministrazioni pubbliche, che ne facciano
motivata richiesta per esclusivo uso di pubblica utilità (art. 34, comma 1); al contrario, tali elen-
chi non possono essere rilasciati in favore di privati, ai quali i dati anagrafici possono essere
comunicati in forma anonima ed aggregata, qualora ne sia fatta richiesta per fini statistici e di
ricerca e il Comune disponga di idonee apparecchiature (art. 34, comma 2).
• Garante 10 giugno 1998, in Bollettino n. 4, pag. 72 (v. anche www.garanteprivacy.it: doc. n. 42200)
La circostanza che l’iscrizione nell’elenco degli elettori dei Comites, di per sé soggetta a
pubblicità, venga effettuata d’ufficio sulla base degli schedari istituiti a norma dell’art. 67 del
d.P.R. n. 200/1967 (c.d. anagrafe consolare), non consente un’estensione del medesimo regime
di conoscibilità in favore di detti schedari, ostandovi non solo il dettato normativo di cui alla
Con riferimento alla c.d. “anagrafe consolare”, la disciplina anagrafica di cui al d.P.R.
n. 223/1989 è applicabile – in quanto compatibile – soltanto in relazione ai dati relativi all’i-
scrizione nello schedario dei cittadini residenti nella circoscrizione consolare (dati anagrafici e
professionali) e non anche per altri dati ivi contenuti (atti o fatti relativi allo status di cittadino,
al godimento dei diritti civili e politici, ecc.) che, per espressa disposizione di legge, possono
essere utilizzati dall’ufficio consolare per “finalità di tutela degli interessi del connazionale”
(art. 67, u.c.). Pertanto, questi ultimi dati sono divulgabili a terzi nei limiti in cui ciò sia even-
tualmente previsto da specifiche disposizioni normative diverse da quelle relative al rilascio
degli atti anagrafici, ferma restando, in ogni caso, l’eventuale loro comunicabilità ove ricorrano
i presupposti di cui all’art. 27, commi 2 e 3 della legge n. 675/1996.
• Garante 18 maggio 1999, in Bollettino n. 8, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 39636)
Gli schedari istituiti a norma dell’art. 67 del d.P.R. n. 200/1967 (c.d. “anagrafe conso-
lare”) debbono ritenersi pubblici in quanto contenenti notizie che, essendo acquisite dai sin-
goli uffici consolari per il tramite delle dichiarazioni rese dai cittadini che trasferiscono la resi-
denza all’estero, vanno considerate anch’esse pubbliche alla stregua di quanto previsto dal-
l’art. 1, comma 12 della legge n. 470/1988. Inoltre, poiché tali schedari costituiscono, ai sensi
dell’art. 1 del d.P.R. n. 323/1989, parti delle anagrafi della popolazione di cui alla legge 24
dicembre 1954 n. 1228, si deve ritenere che i dati anagrafici in essi contenuti siano conoscibili,
oltre che dietro apposita richiesta di certificazione avanzata ex art. 67, comma 2 del d.P.R.
n. 200/1967, anche in base agli artt. 33 e 34 del d.P.R. n. 223/1989.
• Garante 18 maggio 1999, in Bollettino n. 8, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 39636)
La legge n. 675/1996, recante norme in materia di protezione dei dati personali, non ha
modificato direttamente la normativa relativa ai registri dello stato civile e alla disciplina degli
atti anagrafici, né ha introdotto ulteriori divieti di rendere conoscibili le informazioni in que-
stione, ma ha previsto che le amministrazioni e gli enti pubblici, in un quadro di maggiore tra-
sparenza, possono diffondere i dati personali da essi detenuti quando ciò sia previsto da norme
di legge o di regolamento rispettando, peraltro, il limite e le modalità previste dalla specifica
disciplina di settore (art. 27, comma 3).
• Garante 23 maggio 2000, in Bollettino n. 13, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40229)
REGIMI PARTICOLARI DI PUBBLICITÀ DEGLI ATTI > CASI PARTICOLARI > 185
ANAGRAFE E STATO CIVILE
Fatta salva la particolare disciplina in materia di accesso ai documenti amministrativi posta
dalla legge n. 241/1990, la cui perdurante applicabilità non è pregiudicata dalle disposizioni con-
tenute nella legge n. 675/1996 e nel d.lg. n. 135/1999, non è possibile comunicare o diffondere a
privati i dati personali provenienti dagli archivi anagrafici al di fuori delle ipotesi specificamente
previste dalla normativa di settore (v. artt. 32 e 34, commi 1 e 2, del d.P.R. n. 223/1989).
• Garante 23 maggio 2000, in Bollettino n. 13, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40229)
Gli archivi anagrafici non permettono un prelevamento diretto dei dati, fuori dai casi espres-
samente consentiti; inoltre, i dati anagrafici, a parte le certificazioni rilasciabili a chiunque ne fac-
cia richiesta, possono essere comunicati all’esterno solo a pubbliche amministrazioni e per “esclu-
sivo uso di pubblica utilità” (art. 34, comma 1, del d.P.R. n. 223/1989).
• Garante 20 giugno 2000, in Bollettino n. 13, pag. 11 (v. anche www.garanteprivacy.it: doc. n. 40441)
L’accesso, costante e indiscriminato, da parte dei privati a tutte le informazioni non sensibili
contenute nella banca dati anagrafica di un Comune è precluso in radice e non può essere disposto
dall’ente locale chiedendo il consenso degli interessati alla comunicazione dei propri dati perso-
nali. Le disposizioni del regolamento anagrafico prevedono, infatti, la comunicazione (e non la dif-
fusione) dei dati anagrafici solo ad amministrazioni pubbliche, e non anche ai privati, e per soli fini
di pubblica utilità (art. 34 del d.P.R. n. 223/1989).
• Garante 5 dicembre 2000, in Bollettino n. 14/15, pag. 22 (v. anche www.garanteprivacy.it: doc. n. 40273)
Assistenti sociali
REGIMI PARTICOLARI DI PUBBLICITÀ DEGLI ATTI > CASI PARTICOLARI > 187
ORDINI PROFESSIONALI > ASSISTENTI SOCIALI
Dottori commercialisti
Geometri
Medici
Poiché gli albi dei medici chirurghi sono soggetti ad un regime di pubblicità (art. 3 del
d.lg. C.p.S. n. 238/1946; artt. 2 e 3 del d.P.R. n. 221/1950) che, di fatto, ne consente la cono-
scibilità da parte di chiunque, ai sensi dell’art. 27, commi 2 e 3 della legge n. 675/1996, gli
ordini professionali possono sia consegnare copia di detti albi ad altri enti pubblici, AA.SS.LL.
o ordini provinciali, sia comunicare e diffondere a privati od enti pubblici economici i dati per-
sonali in essi contenuti.
• Garante 30 giugno 1997, in Bollettino n. 1, pag. 33 (v. anche www.garanteprivacy.it: doc. n. 39320)
Tecnici radiologi
Alla luce delle disposizioni del d.P.R. n. 1068/1953 sull’ordinamento della professione di
ragioniere e perito commerciale (in specie l’art. 29), e tenuto conto che gli albi dei liberi profes-
sionisti sono ispirati per loro stessa natura e funzione ad un regime di piena pubblicità, anche in
funzione della tutela dei diritti di coloro che a vario titolo hanno rapporti con gli iscritti, deve rite-
nersi consentito al Consiglio dell’Ordine di comunicare e di diffondere a privati i dati personali
contenuti nell’albo (art. 29 del d.P.R. cit.; art. 27, comma 3 della legge n. 675/1996).
• Garante 23 giugno 1998, in Bollettino n. 5, pag. 12 (v. anche www.garanteprivacy.it: doc. n. 39901)
La legge n. 675/1996 non ha modificato le disposizioni della legge n. 441/1982 sulla pub-
blicità della situazione patrimoniale dei titolari di alcune cariche elettive o direttive che, per
effetto della legge n. 127/1997, trovano applicazione anche nei confronti del personale dirigen-
ziale – o equiparato – delle amministrazioni pubbliche.
• Garante 14 gennaio 1999, in Bollettino n. 7, pag. 15 (v. anche www.garanteprivacy.it: doc. n. 42228)
REGIMI PARTICOLARI DI PUBBLICITÀ DEGLI ATTI > CASI PARTICOLARI > 189
ORDINI PROFESSIONALI > TITOLARI DI CARICHE ELETTIVE E DI INCARICHI DIRIGENZIALI
Telecomunicazioni
e reti telematiche
• Profili generali
• Casi particolari
comunale dall’art. 31, comma 5 della legge n. 142/1990 di accedere ai documenti formati dalla
pubblica amministrazione di appartenenza e a qualsiasi notizia od informazione utili ai fini del-
l’esercizio delle funzioni consiliari può, con riferimento alla materia in esame, essere altrimenti
soddisfatto attraverso la pubblicità della situazione patrimoniale dei dirigenti (v. leggi
n. 142/1990 e n. 127/1997 citate), l’esame dei contratti collettivi e l’accesso alle deliberazioni e
alle determinazioni, concernenti indennità e altri emolumenti corrisposti, adottate
dall’Amministrazione a favore dei dipendenti.
• Garante 8 giugno 1999, in Bollettino n. 9, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 40369)
Ai sensi dell’art. 31, comma 2, della legge n. 675/1996, i regolamenti e gli atti amministra-
tivi adottati senza la consultazione del Garante sono annullabili per violazione della legge nazio-
nale e del diritto comunitario in materia.
• Garante 20 ottobre 2000, in Bollettino n. 14/15, pag. 24 (v. anche www.garanteprivacy.it: doc. n. 42264)
Ai sensi dell’art. 31, comma 2, della legge n. 675/1996, il Presidente del Consiglio dei mini-
stri e ciascun ministro debbono consultare il Garante all’atto di emanare norme regolamentari e
atti amministrativi suscettibili di incidere sulle materie disciplinate dalla legge. Tali atti, ove
emessi senza il preventivo parere del Garante, sono quindi illegittimi ed annullabili per viola-
zione della legge n. 675/1996 e del diritto comunitario in materia.
• Garante 9 gennaio 2001, in Bollettino n. 16, pag. 48 (v. anche www.garanteprivacy.it: doc. n. 30983)
Casi particolari
In linea di principio, le disposizioni della legge n. 675/1996 non incidono, né pongono osta-
coli nei confronti di specifici obblighi contrattuali in base ai quali deve essere effettuata una
comunicazione di dati personali, salva l’adozione di particolari accorgimenti che la legge pone a
tutela degli interessati. Ne consegue che quando l’obbligo, per un gestore del servizio telefo-
nico, di rendere disponibili, nei confronti dell’amministrazione vigilante, talune informazioni
sugli abbonati, ai fini del controllo sul corretto esercizio della concessione, discende dall’adem-
pimento di clausole contrattuali, il gestore ha l’onere di informare gli interessati e di richiedere
loro il consenso, ove questo non sia già stato manifestato.
• Garante 31 dicembre 1998, in Bollettino n. 6, pag. 107 (v. anche www.garanteprivacy.it: doc. n. 30851)
In linea di principio, le disposizioni della legge n. 675/1996 non incidono, né pongono osta-
coli nei confronti di precise disposizioni normative in base alle quali deve essere effettuata una
E-mail e spamming
Viola la privacy chi utilizza a fini di comunicazione politica, senza il consenso degli interes-
sati, indirizzi e-mail reperiti in rete. La mera conoscibilità degli indirizzi di posta elettronica non
consente, infatti, di per sé, l’invio generalizzato di e-mail (c.d. spamming), quale che sia il con-
tenuto dei messaggi, compreso quello politico-elettorale. Né può invocarsi la previsione, conte-
nuta nella legge, relativa a “pubblici registri, elenchi, atti o documenti conoscibili da chiunque”,
che non può essere riferita a qualunque dato personale che sia di fatto consultabile, ma ai soli
dati che siano sottoposti ad un regime giuridico di piena conoscibilità da parte di chiunque,
come può ritenersi, ad esempio, per gli elenchi telefonici.
• Garante 11 gennaio 2001, in Bollettino n. 16, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 40823)
La conoscenza degli indirizzi e-mail che si realizza attraverso la partecipazione degli utenti
a forum e newsgroup è legata alle finalità per le quali essa avviene. Non è quindi corretto racco-
gliere tali indirizzi e generalità ed utilizzarli, senza preventivo consenso degli interessati, per
scopi diversi quali, ad esempio, lo spamming.
Garante 11 gennaio 2001, in Bollettino n. 16, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 40823)
Pubblicità telefonica
Nell’ambito del servizio “GratisTel”, che offre la possibilità di effettuare telefonate gratuite
196 M a s s i m a r i o 1 9 9 7 / 2 0 0 1 • Te l e c o m u n i c a z i o n i e r e t i t e l e m a t i c h e
interrotte da messaggi pubblicitari, anche i dati relativi alle utenze chiamate sono oggetto di trat-
tamento da parte della società che gestisce il servizio “GratisT S.r.l.”. Pertanto, gli abbonati chia-
mati tramite “GratisTel” devono essere informati e messi in grado di esprimere consapevolmente
le loro scelte in ordine ai trattamenti dei dati a scopo pubblicitario, nel rispetto di quanto previ-
sto dagli artt. 10, 11 e 12 della legge n. 675/1996 e dall’art. 10 del d.lg. n. 171/1998. La natura pri-
vata della conversazione, infatti, non preclude l’applicazione delle garanzie previste in materia
di trattamento dei dati personali e di sistemi pubblicitari di chiamata.
• Garante 13 novembre 1999, in Bollettino n. 10, pag. 54 (v. anche www.garanteprivacy.it: doc. n. 30899)
Con riferimento al servizio “Gratis Tel”, che offre la possibilità di effettuare telefonate gratuite
interrotte da messaggi pubblicitari, la società che fornisce il servizio – GratisT S.r.l. – deve rendere
facilmente accessibile agli interessati/sottoscrittori un elenco costantemente aggiornato degli
inserzionisti, recante gli estremi identificativi dei titolari e dei responsabili del trattamento, al fine
di consentire un agevole esercizio dei diritti riconosciuti dall’art. 13 della legge n. 675/1996.
• Garante 13 novembre 1999, in Bollettino n. 10, pag. 54 (v. anche www.garanteprivacy.it: doc. n. 30899)
198 M a s s i m a r i o 1 9 9 7 / 2 0 0 1 • Te l e c o m u n i c a z i o n i e r e t i t e l e m a t i c h e
Gli estremi identificativi delle utenze telefoniche intestate ai singoli condòmini o ai loro fami-
liari non possono essere annoverati tra quelli oggetto di necessaria ed obbligatoria comunicazione
all’interno del condominio, in quanto non rappresentano elementi utili a determinare i diritti o gli
oneri sulla cosa comune, ne è rinvenibile alcun obbligo di legge in tal senso. Resta, peraltro, ferma
la possibilità per l’amministratore di condominio di comunicare i numeri di telefono ai condòmini
richiedenti, con il consenso degli interessati (art. 11 della legge n. 675/1996).
• Garante 19 maggio 2000, in Bollettino n. 13, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 42268)
Con riferimento alla particolare categoria di dati rappresentata dal traffico telefonico “in
entrata” in una determinata utenza, la legge n. 675/1996 garantisce il diritto di accedere anche
ai dati personali non ancora registrati (art. 13, comma 1, lett. c), n. 1)), oltreché a quelli dissemi-
nati in più luoghi o archivi, ovvero conservati in modo disorganico. L’accesso non può, invece,
riguardare dati non raccolti o che divengono materialmente esistenti solo a seguito di una spe-
cifica attività creativa complessa o che potrebbe essere realizzata solo con la collaborazione di
altri soggetti. Le relative valutazioni vanno condotte caso per caso, nel quadro delle condizioni
tecniche del settore (fattispecie anteriore all’entrata in vigore del d.lg. n. 467/2001).
• Garante 8 giugno 2000, in Bollettino n. 13, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 40473)
I numeri delle utenze telefoniche mobili sono dati personali ai sensi dell’art. 1 della legge
n. 675/1996 .
• Garante 20 giugno 2001, in Bollettino n. 21, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 39316)
In via di principio, nell’ambito dei “dati personali” suscettibili di accesso ai sensi del-
l’art. 13 della legge n. 675/1996, rientrano sia le telefonate effettuate dall’utenza telefonica
dell’interessato (c.d. “in uscita”), sia quelle “in entrata” sull’utenza stessa. Con specifico rife-
rimento a quelle “in entrata”, il diritto di accesso si estende anche ai dati non ancora registrati
(art. 13, comma 1, lett. c), n. 1 della legge n. 675/1996), a quelli disseminati in più luoghi ed
archivi ed a quelli conservati in modo disorganico (casi per i quali l’art. 17, comma 9, del d.P.R.
n. 501/1998 impone al titolare del trattamento l’adozione di opportune misure per agevolare
l’accesso, tenendo presente la definizione di “dato personale” di cui all’art. 1 della legge
n. 675/1996); restano invece esclusi, secondo una valutazione da effettuare caso per caso nel
quadro delle condizioni tecniche di settore, i dati personali non raccolti o che divengono mate-
rialmente esistenti solo a seguito di una specifica e complessa attività creativa, eventualmente
realizzabile soltanto in virtù della collaborazione resa da altri soggetti (fattispecie anteriore
all’entrata in vigore del d.lg. n. 467/2001).
• Garante 17 ottobre 2001, in Bollettino n. 23, pag. 44 (v. anche www.garanteprivacy.it: doc. n. 40385)
In via di principio, nell’ambito dei “dati personali”, suscettibili di accesso ai sensi dell’art. 13
della legge n. 675/1996, rientrano sia le telefonate effettuate dall’utenza telefonica dell’interes-
sato (c.d. “in uscita”), sia quelle “in entrata” sull’utenza stessa. Con specifico riferimento a quelle
“in entrata”, il diritto di accesso si estende anche ai dati non ancora registrati, a quelli disseminati
in più luoghi ed archivi ed a quelli conservati in modo disorganico; restano invece esclusi, secondo
una valutazione da effettuare caso per caso, nel quadro delle condizioni tecniche di settore, i dati
personali non raccolti o che divengono materialmente esistenti solo a seguito di una specifica e
complessa attività creativa, eventualmente realizzabile soltanto in virtù della collaborazione resa
da altri soggetti (fattispecie anteriore all’entrata in vigore del d.lg. n. 467/2001).
• Garante 5 dicembre 2001, in Bollettino n. 23, pag. 48 (v. anche www.garanteprivacy.it: doc. n. 40683)
Sia le chiamate in uscita che quelle in entrata relative alla utenza telefonica dell’interes-
sato debbono essere considerate suoi dati personali ai sensi dell’art. 1, comma 1, lett. c), della
legge n. 675/1996, contenendo informazioni ad esso collegabili relative ai contatti intrapresi
nella sfera personale o nella vita di relazione, nell’attivare o ricevere comunicazioni (fattispecie
anteriore all’entrata in vigore del d.lg. n. 467/2001).
• Garante 12 dicembre 2001, in Bollettino n. 23, pag. 44 (v. anche www.garanteprivacy.it: doc. n. 40385)
Il gestore del servizio telefonico deve fornire all’abbonato, che ne faccia espressa richiesta
ai sensi dell’art. 13 della legge n. 675/1996, il dettaglio integrale del traffico telefonico “in
uscita” dall’utenza, senza il mascheramento delle ultime tre cifre dei numeri chiamati previsto
dall’art. 5 d.lg. n. 171/1998.
• Garante 12 dicembre 2001, in Bollettino n. 23, pag. 44 (v. anche www.garanteprivacy.it: doc. n. 40385)
La richiesta dell’abbonato di conoscere i dati personali relativi alle telefonate “in entrata”
sull’utenza a lui intestata costituisce espressione del diritto di accesso ai dati garantito dal-
l’art. 13 della legge n. 675/1996. L’accesso si estende ai dati, già esistenti nella concreta dispo-
nibilità del gestore del servizio telefonico, non ancora registrati (art. 13, comma 1, lett. c), n. 1), a
quelli disseminati in più luoghi ed archivi ed a quelli conservati in modo disorganico (fattispecie
anteriore all’entrata in vigore del d.lg. n. 467/2001).
• Garante 12 dicembre 2001, in Bollettino n. 23, pag. 44 (v. anche www.garanteprivacy.it: doc. n. 40385)
200 M a s s i m a r i o 1 9 9 7 / 2 0 0 1 • Te l e c o m u n i c a z i o n i e r e t i t e l e m a t i c h e
Diritti
dell’interessato
• Modalità di esercizio
• Diritto di accesso
• Opposizione al trattamento
La formulazione dell’art. 17 del d.P.R. n. 501/1998 indica chiaramente che l’allegazione della
copia di un documento d’identità all’istanza proposta ai sensi dell’art. 13 della legge n. 675/1996
non rappresenta per l’interessato un obbligo, ma solo una possibile soluzione al fine di dimo-
strare la propria identità, essendo idonea anche una individuazione dell’istante realizzata
attraverso altre modalità di identificazione, quali la conoscenza personale o l’attestazione da
parte di terzi.
• Garante 29 settembre 1999, in Bollettino n. 10, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 41147)
Ai sensi dell’art. 17, comma 2, del d.P.R. n. 501/1998, l’esibizione al titolare del trattamento
di un documento di riconoscimento costituisce soltanto una delle possibili modalità – né esclu-
siva né obbligatoria – di essa, alla quale debbono ritenersi equipollenti anche la conoscenza per-
sonale o l’accertamento dell’identità personale attraverso altri atti o elementi già in possesso
del titolare del trattamento (nel caso di specie, il pregresso accertamento dell’identità personale
dell’interessato è stato ravvisato nei precedenti contatti intercorsi tra la società assicuratrice e
l’interessato, cui era stata addirittura già formulata una proposta d’indennizzo).
• Garante 17 gennaio 2001, in Bollettino n. 16, pag. 20 (v. anche www.garanteprivacy.it: doc. n. 38925)
Ai sensi dell’art. 17, comma 2, del d.P.R. n. 501/1998, l’esibizione al titolare del trattamento
di un documento di riconoscimento costituisce soltanto una delle possibili modalità – né esclu-
siva né obbligatoria – di essa, alla quale debbono ritenersi equipollenti anche la conoscenza per-
sonale o l’accertamento dell’identità personale attraverso altri atti o elementi già in possesso
del titolare del trattamento.
• Garante 14 marzo 2001, in Bollettino n. 18, pag. 15 (v. anche www.garanteprivacy.it: doc. n. 39564)
• Garante 26 marzo 2001, in Bollettino n. 18, pag. 12 (v. anche www.garanteprivacy.it: doc. n. 40707)
Non possono essere accolte richieste di cancellazione dei dati nei confronti di titolari, che
eventualmente li detengano, nei cui confronti l’interessato non abbia direttamente proposto il
ricorso di cui all’art. 29 della legge n. 675/1996, e che comunque non abbiano preso parte al
relativo procedimento; il titolare, nei cui confronti è presentato il ricorso, non ha infatti un potere
diretto di far cancellare dati contenuti in archivi gestiti da distinti ed autonomi titolari (nella spe-
cie, l’interessato ha proposto il ricorso nei confronti della società dalla quale ha ottenuto un
finanziamento, chiedendo però la cancellazione dei dati trasmessi da tale società ad altro sog-
getto, gestore di una “centrale rischi” privata, nei cui confronti il ricorrente non ha inoltrato
alcuna richiesta diretta).
• Garante 29 settembre 1999, in Bollettino n. 10, pag. 45 (v. anche www.garanteprivacy.it: doc. n. 40025)
• Garante 9 dicembre 1999, in Bollettino n. 10, pag. 48 (v. anche www.garanteprivacy.it: doc. n. 42300)
Nel caso in cui una pluralità di titolari effettui contestualmente distinti trattamenti di dati
personali, l’interessato, ai fini del valido esercizio del diritto di accesso, è tenuto ad identificare
in modo inequivoco i singoli titolari, ciascuno dei quali deve essere destinatario di apposita
istanza ai sensi dell’art. 13 della legge n. 675/1996.
• Garante 24 settembre 2001, in Bollettino n. 22, pag. 75 (v. anche www.garanteprivacy.it: doc. n. 38917)
Diritto di accesso
Profili generali
I diritti di accesso ai dati personali previsti dall’art. 13 della legge n. 675/1996 possono
essere esercitati anche nei confronti dei dati raccolti ed utilizzati dai servizi sociali dei Comuni.
• Garante 23 giugno 1998, in Bollettino n. 5, pag. 20 (v. anche www.garanteprivacy.it: doc. n. 39949)
L’art. 13 della legge n. 675/1996 non prevede il necessario rilascio di copie di atti, bensì
obbliga il titolare o il responsabile del trattamento ad estrarre dai propri archivi e documenti
tutte le informazioni su supporto cartaceo o informatico che riguardano l’interessato e a riferir-
gliele con modalità idonee a rendere i dati facilmente comprensibili. Non può escludersi, peral-
tro, la necessità di esibire o consegnare copia di interi atti o documenti, o parte di essi, che
riguardino anche terze persone, nel solo caso in cui i dati relativi all’interessato e ai terzi siano
intrecciati a tal punto da essere incomprensibili, o snaturati nel loro contenuto, se privati di
alcuni elementi, o scomposti rispetto alla loro originaria collocazione.
• Garante 23 giugno 1998, in Bollettino n. 5, pag. 20 (v. anche www.garanteprivacy.it: doc. n. 39949)
Secondo quanto stabilito dall’art. 17, comma 9 del d.P.R. n. 501/1998, il titolare del tratta-
mento deve adottare, ai fini di una efficace applicazione dell’art. 13 della legge n. 675/1996,
opportune misure volte a facilitare l’esercizio dei diritti di accesso dell’interessato ai dati che lo
riguardano, anche attraverso l’impiego di apposite procedura informatiche di gestione e di con-
sultazione della propria banca dati, nonché a semplificare le modalità per il riscontro al richie-
dente e a ridurre i relativi tempi.
• Garante 29 settembre 1999, in Bollettino n. 10, pag. 31 (v. anche www.garanteprivacy.it: doc. n. 39045)
Come previsto dall’art. 41 della legge n. 675/1996, i diritti attribuiti all’interessato dagli
artt. 13 e 29 della legge possono essere esercitati anche nei confronti dei titolari di banche dati
costituite prima dell’entrata in vigore della legge n. 675/1996, o che effettuino trattamenti ini-
ziati precedentemente a tale data.
• Garante 29 settembre 1999, in Bollettino n. 10, pag. 31 (v. anche www.garanteprivacy.it: doc. n. 39045)
La società titolare del trattamento, cui l’interessato, in sede di esercizio dei diritti di cui
all’art. 13 della legge n. 675/1996, abbia richiesto di conoscere gli estremi identificativi del
responsabile, non può limitarsi ad indicare la carica ricoperta da questo soggetto – nella specie,
l’amministratore delegato pro tempore –, ma deve precisare gli elementi atti ad individuare la
persona fisica o l’organismo che riveste tale ruolo (generalità, residenza o sede).
Garante 9 dicembre 1999, in Bollettino n. 10, pag. 48 (v. anche www.garanteprivacy.it: doc. n. 42300)
Ai sensi dell’art. 13 della legge n. 675/1996, l’interessato può ottenere l’accesso alle sole
informazioni che lo riguardano attraverso estrazione delle stesse dagli archivi, atti e documenti
in possesso dell’amministrazione e loro trasposizione, in forma agevolmente comprensibile, su
di un supporto cartaceo od informatico (v. art. 17 del d.P.R. n. 501/1998).
• Garante 23 maggio 2000, in Bollettino n. 13, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40229)
Il titolare è tenuto a fornire riscontro, anche negativo, all’interessato che gli rivolga istanza
ex art. 13 della legge n. 675/1996 al fine di conoscere dell’esistenza o meno di dati personali che
lo riguardano (comma 1 , lett. c) , n. 1).
• Garante 27 febbraio 2001, in Bollettino n. 17, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40485)
I dati personali oggetto d’istanza d’accesso debbono essere comunicati in forma intel-
ligibile dal titolare del trattamento che, ai fini di una più efficace applicazione dell’art. 13
della legge n. 675/1996, ai sensi dell’art. 17, comma 9, del d.P.R. n. 501/1998 è tenuto ad
Il ricorso di cui all’art. 29 della legge n. 675/1996 può avere ad oggetto solo i diritti tassa-
tivamente indicati dall’art. 13 della legge, tra i quali non rientra la richiesta volta a conoscere i
nominativi di terzi cui il titolare del trattamento abbia comunicato o diffuso dati personali del-
l’interessato. Ne consegue che il ricorso, ove diretto a far valere tale pretesa, è inammissibile.
• Garante 8 maggio 2001, in Bollettino n. 20, pag. 9 (v. anche www.garanteprivacy.it: doc. n. 39280)
Ai fini dell’esercizio del diritto d’accesso ai dati personali, l’interessato non è tenuto ad
esplicitare al titolare del trattamento le ragioni della richiesta avanzata ai sensi dell’art. 13 della
legge n. 675/1996.
• Garante 24 luglio 2001, in Bollettino n. 22, pag. 34 (v. anche www.garanteprivacy.it: doc. n. 39212)
Ai sensi degli artt. 13 e 29 della legge n. 675/1996, il titolare o il responsabile del tratta-
mento debbono fornire senza ritardo un riscontro compiuto ed analitico all’interessato in ordine
a tutte le informazioni di carattere personale che lo riguardano, comunicando i dati richiesti,
senza limitarsi ad una mera elencazione delle tipologie di dati detenuti.
• Garante 28 settembre 2001, in Bollettino n. 22, pag. 42 (v. anche www.garanteprivacy.it: doc. n. 41949)
Ai sensi degli artt. 13 della legge n. 675/1996 e 17 del d.P.R. n. 501/1998, il titolare del trat-
tamento deve comunicare, in modo compiuto ed analitico, le informazioni personali che riguar-
dano l’interessato, senza limitarsi ad una mera elencazione delle tipologie di dati detenuti.
• Garante 8 novembre 2001, in Bollettino n. 23, pag. 74 (v. anche www.garanteprivacy.it: doc. n. 40177)
• Garante 15 novembre 2001, in Bollettino n. 23, pag. 62 (v. anche www.garanteprivacy.it: doc. n. 39472)
Le richieste di accesso presentate alle Camere di commercio dalle parti interessate alle
procedure di gara per appalti d’opera o di fornitura (in specie, alle singole offerte) debbono
essere valutate con riferimento alla legge n. 241/1990 (che riconosce il diritto di accesso ai docu-
menti amministrativi a chi è titolare di un interesse personale e concreto in relazione alla tutela
di situazioni giuridicamente rilevanti) e alla specifica normativa vigente in materia di appalti
(d.lg. n. 358/1992 e d.lg. n. 157/1995), che contempera il principio di trasparenza del procedi-
mento con il principio di pertinenza e non eccedenza affermato dalla legge n. 675/1996 (art. 9).
• Garante 8 giugno 1998, in Bollettino n. 6, pag. 10 (v. anche www.garanteprivacy.it: doc. n. 40185)
La legge n. 675/1996, che ha introdotto la disciplina del diritto di accesso da parte dell’in-
teressato ai dati che lo riguardano, non incide negativamente sulla normativa, posta a salva-
guardia della trasparenza dell’azione amministrativa, contenuta nella legge n. 241/1990 (e nel
d.P.R. n. 352/1992), che ha attribuito al cittadino che vi abbia interesse il diritto di accedere alla
Tra le disposizioni in materia di protezione dei dati personali e quelle – anche previgenti alla
legge n. 675/1996 – sulla trasparenza dell’attività della pubblica amministrazione, sull’accesso ai
documenti amministrativi e sulla pubblicità di taluni atti non sussiste alcuna incompatibilità di
fondo, in quanto la legge n. 675/1996 non ha introdotto un regime di assoluta riservatezza dei dati
personali; ne consegue che, di volta in volta, è necessario accertare se sussistano diritti o interessi
meritevoli di una tutela equivalente o superiore rispetto a quella fornita da tale legge.
• Garante 14 gennaio 1999, in Bollettino n. 7, pag. 15 (v. anche www.garanteprivacy.it: doc. n. 42228)
Non costituisce valido esercizio dei diritti di cui all’art. 13 della legge n. 675/1996, con con-
seguente inammissibilità del successivo ricorso proposto ai sensi dell’art. 29 della legge, la
richiesta d’accesso ai documenti amministrativi, che attiene ad un distinto diritto tutelato dalla
legge n. 241/1990.
• Garante 27 giugno 2001, in Bollettino n. 21, pag. 10 (v. anche www.garanteprivacy.it: doc. n. 39224)
• Garante 3 settembre 2001, in Bollettino n. 22, pag. 28 (v. anche www.garanteprivacy.it: doc. n. 38933)
Il diritto tutelato dall’art. 13, comma 1, della legge n. 675/1996 ha ad oggetto l’accesso del-
l’interessato ai soli dati personali, e non dev’essere confuso con il distinto diritto di accesso ai
documenti amministrativi, specificamente tutelato dalla legge n. 241/1990; comunque, ove l’e-
strazione dei dati oggetto dell’istanza ex art. 13 della legge risulti particolarmente difficoltosa,
l’adempimento del titolare del trattamento può avvenire anche tramite la modalità dell’esibi-
zione e/o della consegna in copia della documentazione che li contiene.
• Garante 24 luglio 2001, in Bollettino n. 22, pag. 34 (v. anche www.garanteprivacy.it: doc. n. 39212)
Il principio di alternatività di cui all’art. 29, comma 1, della legge n. 675/1996, opera sol-
tanto tra il Garante e l’a.g.o., unica autorità avente giurisdizione sulle controversie concernenti
l’applicazione della legge n. 675/1996 e, segnatamente, sui diritti di cui all’art. 13; pertanto, ove
l’interessato abbia preventivamente esercitato il diritto di accesso ai documenti amministrativi
innanzi al Giudice amministrativo (legge n. 241/1990), non sussistono preclusioni in relazione
alla possibilità di esercitare il distinto diritto di accesso ai dati innanzi al Garante – con conse-
guente ammissibilità del relativo ricorso – o, in via alternativa, all’a.g.o.
• Garante 17 settembre 2001, in Bollettino n. 22, pag. 72 (v. anche www.garanteprivacy.it: doc. n. 39476)
L’art. 13 della legge n. 675/1996 non prevede il necessario rilascio di copie di atti, bensì
obbliga il titolare o il responsabile del trattamento ad estrarre dai propri archivi e documenti
tutte le informazioni su supporto cartaceo o informatico che riguardano l’interessato e a riferir-
gliele con modalità idonee a rendere i dati facilmente comprensibili. Non può escludersi, peral-
tro, la necessità di esibire o consegnare copia di interi atti o documenti, o parte di essi, che
riguardino anche terze persone, nel solo caso in cui i dati relativi all’interessato e ai terzi siano
intrecciati a tal punto da essere incomprensibili, o snaturati nel loro contenuto, se privati di
alcuni elementi, o scomposti rispetto alla loro originaria collocazione.
• Garante 23 giugno 1998, in Bollettino n. 5, pag. 20 (v. anche www.garanteprivacy.it: doc. n. 39949)
Benché l’art. 13 della legge n. 675/1996 preveda soltanto un obbligo, a carico del titolare e
del responsabile del trattamento, di estrapolare i dati personali dell’interessato, non può esclu-
dersi, in casi particolari, la necessità di esibire o consegnare copia non tanto di singoli dati,
quanto di interi atti o documenti (o parte di essi) che riguardino anche terzi; ciò nella sola ipo-
tesi in cui i dati relativi al richiedente e ai terzi siano intrecciati al punto tale da essere incom-
prensibili o snaturati nel loro contenuto, se privati di alcuni elementi o scomposti rispetto alla
loro originaria collocazione.
• Garante 28 agosto 1998, in Bollettino n. 5, pag. 19 (v. anche www.garanteprivacy.it: doc. n. 41111)
Il titolare e il responsabile del trattamento, al fine di rendere possibile l’esercizio dei diritti
di cui all’art. 13 della legge n. 675/1996, debbono fornire senza ritardo all’interessato un riscon-
tro compiuto ed analitico in ordine a tutte le informazioni di carattere personale che lo riguar-
dano, presenti in archivi o in atti detenuti dal medesimo titolare o responsabile; a tal fine, non è
previsto il necessario rilascio di copie di atti, bensì l’obbligo del titolare o del responsabile del
trattamento di estrapolare dagli archivi e dai documenti, senza esclusioni di sorta, tutte le infor-
mazioni – contenute su supporto cartaceo o informatico – che riguardano il richiedente e a rife-
rirle a quest’ultimo con modalità idonee a rendere i dati facilmente comprensibili.
• Garante 28 agosto 1998, in Bollettino n. 5, pag. 19 (v. anche www.garanteprivacy.it: doc. n. 41111)
L’esibizione e/o la consegna in copia della documentazione estratta a seguito della richie-
sta di accesso ai dati personali presentata ai sensi dell’art. 13 della legge n. 675/1996 possono
costituire adeguate modalità di adempimento da parte del titolare del trattamento, qualora la
consultazione dei documenti consenta ugualmente un’agevole comprensione dei dati personali
richiesti, considerata anche la qualità e la quantità delle informazioni, e risulti invece particolar-
mente difficoltosa l’estrazione dei dati stessi dai documenti e la loro trasposizione su apposito
supporto cartaceo od informatico, come previsto dall’art. 17, comma 6 del d.P.R. n. 501/1998.
• Garante 27 ottobre 1999, in Bollettino n. 10, pag. 38 (v. anche www.garanteprivacy.it: doc. n. 38937)
Benché l’art. 13 della legge n. 675/1996 non preveda, a fronte di un’istanza d’accesso, la
necessaria consegna della documentazione o dei supporti sui quali i dati sono conservati, per il
titolare del trattamento sussiste la necessità di esibire o consegnare copia di interi atti o docu-
menti, anche su supporto diverso da quello cartaceo, qualora le informazioni relative all’interes-
sato possano risultare incomprensibili o snaturate nel loro contenuto se private di alcuni ele-
menti essenziali.
• Garante 11 aprile 2000, in Bollettino n. 11/12, pag. 58 (v. anche www.garanteprivacy.it: doc. n. 40313)
L’esibizione e/o la consegna in copia della documentazione ai sensi dell’art. 13 della legge
n. 675/1996 possono costituire modalità d’adempimento adeguata per corrispondere alle richie-
ste di accesso ai dati personali dell’interessato, qualora la consultazione dei documenti, avuto
riguardo alla qualità e quantità delle informazioni ed alla difficoltà d’estrazione delle stesse,
consenta ugualmente un’agevole conoscenza dei dati richiesti.
• Garante 28 dicembre 2000, in Bollettino n. 16, pag. 10 (v. anche www.garanteprivacy.it: doc. n. 40647)
• Garante 4 luglio 2001, in Bollettino n. 22, pag. 26 (v. anche www.garanteprivacy.it: doc. n. 42002)
• Garante 19 luglio 2001, in Bollettino n. 22, pag. 40 (v. anche www.garanteprivacy.it: doc. n. 42236)
• Garante 17 settembre 2001, in Bollettino n. 22, pag. 32 (v. anche www.garanteprivacy.it: doc. n. 40771)
Nell’ambito dell’esercizio degli specifici diritti tutelati dall’art. 13 della legge n. 675/1996,
in particolare del diritto di accesso da parte dell’assicurato ai dati personali contenuti in una
perizia medico legale redatta su incarico della società di assicurazione, non è possibile preten-
dere di ottenere copia integrale degli atti o dei documenti contenenti i dati.
• Garante 19 febbraio 2001, in Bollettino n. 17, pag. 16 (v. anche www.garanteprivacy.it: doc. n. 40505)
Nell’ambito dell’esercizio degli specifici diritti tutelati dall’art. 13 della legge n. 675/1996,
in particolare del diritto di accesso da parte del dipendente ai dati personali detenuti dal datore
e riferiti all’attività lavorativa svolta, non è possibile pretendere di ottenere copia integrale degli
atti o dei documenti contenenti i dati, ove questi ultimi siano stati forniti attraverso la loro estra-
zione e messa a disposizione, anche se su supporti diversi dagli originali.
• Garante 19 aprile 2001, in Bollettino n. 19, pag. 12 (v. anche www.garanteprivacy.it: doc. n. 41842)
L’esercizio del diritto di cui all’art. 12-ter della legge n. 990/1969 (così come modificata
dalla legge n. 57/2001), che consente ai contraenti e ai danneggiati di accedere agli atti delle
imprese assicuratrici alla conclusione dei procedimenti di valutazione, constatazione e liquida-
zione dei danni che li riguardano, non preclude l’esercizio del diverso e concorrente diritto d’ac-
cesso ai dati personali riconosciuto dall’art. 13 della legge n. 675/1996.
• Garante 8 maggio 2001, in Bollettino n. 20, pag. 17 (v. anche www.garanteprivacy.it: doc. n. 39284)
Il d.P.R. n. 221/1950, nel disporre annualmente la stampa e la pubblicazione degli albi degli
ordini delle professioni sanitarie – tra cui quello dei tecnici sanitari di radiologia medica – e il loro
DIRITTO DI ACCESSO > REGISTRI, ELENCHI, ATTI O DOCUMENTI CONOSCIBILI DA CHIUNQUE 215
ALBI DEI TECNICI RADIOLOGI
invio a vari soggetti ed amministrazioni pubbliche, ne determina, di fatto, una diffusa conoscibi-
lità presso le amministrazioni destinatarie. Per quanto concerne tale diffusione, la legge n.
675/1996 esclude che debba essere acquisito il consenso degli interessati quando il trattamento
riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque
(artt. 12, comma 1, lett. c) e 20, comma 1, lett. b)).
• Garante 26 ottobre 1998, in Bollettino n. 6, pag. 12 (v. anche www.garanteprivacy.it: doc. n. 41075)
Anche gli elenchi degli elettori italiani residenti all’estero per le votazioni relative al
Parlamento europeo sono soggetti alla normativa posta dal d.P.R. n. 223/1967 (art. 51), concer-
nente la tenuta e la pubblicità delle liste elettorali; infatti, tali elenchi sono formati dal Ministero
dell’interno (e trasmessi al Ministero degli affari esteri, che li inoltra agli uffici consolari) sulla
base dei dati contenuti nelle liste elettorali, la cui piena conoscibilità non viene meno per effetto
della loro inclusione in detti elenchi.
• Garante 18 maggio 1999, in Bollettino n. 8, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 39636)
Ai sensi dell’art. 14, comma 3 della legge n. 205/1985, gli elenchi degli elettori dei comitati
degli italiani all’estero (Comites) sono pubblici, sicché essi, analogamente a quanto previsto
dalla disciplina sulla tenuta delle liste elettorali, sono ampiamente conoscibili da parte dei terzi,
sia pubblici che privati.
• Garante 18 maggio 1999, in Bollettino n. 8, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 39636)
Elenchi telefonici
Liste elettorali
Ai sensi del combinato disposto degli artt. 27 della legge n. 675/1996 e 51 del
d.P.R. n. 223/1967, è lecita la comunicazione e la diffusione a terzi, da parte del Comune, dei dati
riportati nelle liste elettorali, in quanto da chiunque liberamente accessibili e cedibili.
• Garante 22 luglio 1997, in Bollettino n. 1, pag. 43 (v. anche www.garanteprivacy.it: doc. n. 30927)
Alla luce dell’esplicita previsione normativa contenuta nell’art. 51 del d.P.R. n. 227/1997,
chiunque può ottenere copia delle liste elettorali tenute presso il Comune.
• Garante 23 maggio 2000, in Bollettino n. 13, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40229)
DIRITTO DI ACCESSO > REGISTRI, ELENCHI, ATTI O DOCUMENTI CONOSCIBILI DA CHIUNQUE 217
LISTE ELETTORALI
Il diritto di accesso alle liste elettorali di sezione utilizzate presso i seggi elettorali, nelle
quali sono contenuti dati idonei a rivelare anche l’effettiva partecipazione dei cittadini alle vota-
zioni, è esercitabile da ogni elettore, ivi compresi i titolari di cariche elettive, esclusivamente
entro il termine di 15 giorni dal deposito nella cancelleria, al solo fine del controllo sulla regola-
rità delle operazioni elettorali (cfr. art. 62 del d.P.R. n. 570/1960). Resta ferma, invece, ai sensi
dell’art. 51 del d.P.R. n. 223/1967, la libera consultabilità da parte di chiunque, con possibilità di
copia, di stampa e di messa in vendita, delle liste elettorali generali, nelle quali sono riportati i
dati dei cittadini iscritti nel Comune aventi diritto al voto.
• Garante 4 aprile 2001, in Bollettino n. 19, pag. 5 (v. anche www.garanteprivacy.it: doc. n. 42070)
Pubblicazioni di matrimonio
Le pubblicazioni di matrimonio di cui agli artt. 93 e ss. del codice civile, consistendo uni-
camente in affissioni all’albo pretorio dei comuni di residenza dei nubendi, sono pubbliche e,
come tali, possono essere visionate da chiunque e riferite sugli organi di stampa, ma non pos-
sono essere comunicate o diffuse da parte dell’ufficiale di stato civile al di fuori dei modi espres-
samente previsti dalla normativa in materia. A fortiori, tale divieto di comunicazione e diffusione
vale per le richieste di pubblicazione che, non solo possono non sfociare nella pubblicazione
(art. 98 c.c.), ma sono annotate nell’apposito registro per il quale valgono, in via generale, le
norme stabilite dal codice civile e dal r.d. n. 1238/1939 per i registri di cittadinanza, di nascita, di
matrimonio e di morte, che non prevedono una loro libera consultabilità da parte dei privati. È
irrilevante, in ogni caso, qualsiasi consenso fornito dagli interessati alla diffusione di tali elen-
chi, vertendosi in tema di trattamento di dati operato da soggetti pubblici.
• Garante 29 maggio 1998, in Bollettino n. 4, pag. 65 (v. anche www.garanteprivacy.it: doc. n. 41055)
La diffusione, da parte degli uffici comunali, dei dati mediante affissione all’albo pretorio
delle pubblicazioni matrimoniali è lecita anche dopo l’entrata in vigore della legge n. 675/1996,
in quanto l’art. 93 c.c., che fissa un obbligo in tal senso a carico dell’ufficiale di stato civile, rap-
presenta una delle disposizioni che, ai sensi dell’art. 27, comma 3 della legge, rende legittima la
pubblicazione diretta a rendere nota la volontà dei nubendi di contrarre matrimonio e a consen-
tire agli interessati di manifestare eventuali opposizioni. Dette pubblicazioni, comunque, visio-
nabili da chiunque e, eventualmente, anche riferibili da parte degli organi di stampa, non pos-
sono essere comunicate o diffuse da parte dell’ufficiale di stato civile al di fuori dei modi previ-
sti dalla normativa in materia.
• Garante 17 febbraio 2000, in Bollettino n. 11/12, pag. 20 (v. anche www.garanteprivacy.it: doc. n. 38969)
Casi particolari
Anagrafe delle prestazioni dei dipendenti pubblici
L’anagrafe delle prestazioni dei dipendenti pubblici deve essere considerato archivio dete-
nuto da soggetto pubblico. Ai dati personali in essa contenuti si applicano quindi le disposizioni
dell’art. 27 della legge n. 675/1996; essi possono essere pertanto oggetto sia di accesso ai docu-
menti amministrativi in base alla legge n. 241/1990, sia di comunicazione ad altre amministra-
zioni pubbliche per lo svolgimento di funzioni istituzionali, sia di comunicazione a soggetti pri-
vati, ove previsto da precise norme di legge o di regolamento. In difetto di specifiche disposizioni
che lo consentano (cfr. art. 24, comma 1 della legge n. 412/1991), deve invece essere esclusa la
possibilità di un accesso indiscriminato da parte di chiunque.
• Garante 23 ottobre 1997, in Bollettino n. 2, pag. 28 (v. anche www.garanteprivacy.it: doc. n. 40117)
Ai sensi del combinato disposto dell’art. 27 della legge n. 675/1996 e dell’art. 34 del
d.P.R. n. 223/1989, l’ufficiale dell’anagrafe può rilasciare – anche periodicamente – elenchi di
iscritti all’anagrafe della popolazione residente solo alle amministrazioni pubbliche, che ne fac-
ciano motivata richiesta per esclusivo uso di pubblica utilità (art. 34, comma 1); al contrario, tali
elenchi non possono essere rilasciati in favore di privati, ai quali i dati anagrafici possono
essere comunicati in forma anonima ed aggregata, qualora ne sia fatta richiesta per fini stati-
stici e di ricerca e il Comune disponga di idonee apparecchiature (art. 34, comma 2).
• Garante 10 giugno 1998, in Bollettino n. 4, pag. 72 (v. anche www.garanteprivacy.it: doc. n. 42200)
Secondo la normativa sugli atti anagrafici, l’ufficiale di anagrafe deve rilasciare, a chiun-
que ne faccia richiesta, fatte salve le limitazioni di legge, soltanto i “certificati concernenti la
residenza e lo stato di famiglia” degli iscritti (art. 33 del d.P.R. n. 223/1989), e può comunicare
i dati, in forma aggregata ed anonima, agli interessati che ne facciano richiesta per fini stati-
stici e di ricerca; può, infine, rilasciare elenchi degli iscritti alle amministrazioni pubbliche che
ne facciano motivata richiesta, per esclusivo uso di pubblica utilità (art. 34, commi 1 e 2 del
d.P.R. n. 223/1989). Considerato che, ai sensi dell’art. 27, comma 3 della legge n. 675/1996, i
soggetti pubblici possono comunicare dati personali a privati solo quando tale operazione è
Gli schedari istituiti a norma dell’art. 67 del d.P.R. n. 200/1967 (c.d. “anagrafe conso-
lare”) debbono ritenersi pubblici in quanto contenenti notizie che, essendo acquisite dai sin-
goli uffici consolari per il tramite delle dichiarazioni rese dai cittadini che trasferiscono la resi-
denza all’estero, vanno considerate anch’esse pubbliche alla stregua di quanto previsto dal-
l’art. 1, comma 12 della legge n. 470/1988. Inoltre, poiché tali schedari costituiscono, ai sensi
dell’art. 1 del d.P.R. n. 323/1989, parti delle anagrafi della popolazione di cui alla legge n. 1228/1954,
si deve ritenere che i dati anagrafici in essi contenuti siano conoscibili, oltre che dietro apposita
richiesta di certificazione avanzata ex art. 67, comma 2 del d.P.R. n. 200/1967, anche in base agli artt.
33 e 34 del d.P.R. n. 223/1989.
• Garante 18 maggio 1999, in Bollettino n. 8, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 39636)
La legge n. 675/1996, recante norme in materia di protezione dei dati personali, non ha
modificato direttamente la normativa relativa ai registri dello stato civile e alla disciplina degli
atti anagrafici, ne ha introdotto ulteriori divieti di rendere conoscibili le informazioni in que-
stione, ma ha previsto che le amministrazioni e gli enti pubblici, in un quadro di maggiore tra-
sparenza, possono diffondere i dati personali da essi detenuti quando ciò sia previsto da norme
di legge o di regolamento rispettando, peraltro, il limite e le modalità previste dalla specifica
disciplina di settore (art. 27, comma 3).
• Garante 23 maggio 2000, in Bollettino n. 13, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40229)
Nei confronti delle c.d. “centrali rischi” private, che offrono un servizio d’informazione indi-
rizzato principalmente verso gruppi bancari o creditizi, è consentito agli interessati di esercitare
i diritti contemplati dall’art. 13 della legge n. 675/1996.
• Garante 12 ottobre 1998, in Bollettino n. 6, pag. 115 (v. anche www.garanteprivacy.it: doc. n. 42256)
I dati personali dell’interessato detenuti da una c.d. “centrale rischi“ privata attestanti
omissioni o ritardi nei pagamenti, ove si rivelino errati o inesatti, possono essere oggetto dell’i-
stanza formulata al titolare ai sensi dell’art. 13 della legge n. 675/1996 e del successivo ricorso
di cui all’art. 29 della legge al fine della loro cancellazione, aggiornamento o rettifica.
• Garante 28 novembre 2001, in Bollettino n. 23, pag. 60 (v. anche www.garanteprivacy.it: doc. n. 39793)
Concorsi pubblici
Il diritto previsto dall’art. 31, comma 5 della legge 8 giugno 1942, n. 142, in quanto corre-
lato alla funzione di rappresentanza connessa al mandato elettorale, consente ai consiglieri
comunali e provinciali di ottenere dagli uffici, rispettivamente, del Comune e della Provincia, non-
ché dalle loro aziende ed enti dipendenti, tutte le notizie e le informazioni utili per l’espleta-
mento dell’incarico assunto; tale norma, pertanto, ha una ratio diversa da quella dell’art. 7 della
stessa legge, che concerne il diritto di accesso ai documenti amministrativi detenuti dagli enti
locali, genericamente riconosciuto in favore di tutti i cittadini, singoli e associati, nonché da
quella posta a base dell’art. 22 della legge n. 241/1990 che, ai fini della trasparenza dell’azione
amministrativa, consente a chiunque sia portatore di un interesse per la tutela di situazioni giu-
ridicamente rilevanti di accedere ai documenti amministrativi detenuti da amministrazioni
diverse dai comuni e dalle province.
• Garante 20 maggio 1998, in Bollettino n. 4, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 40979)
La legge n. 675/1996 non ha modificato l’art. 31 della legge n. 142/1990 – che consente
ai consiglieri comunali e provinciali di ottenere dagli uffici, rispettivamente, del Comune e
Il diritto previsto dall’art. 31, comma 5 della legge n. 142/1942, consente ai consiglieri
comunali di ottenere dagli uffici del Comune, nonché dalle loro aziende ed enti dipendenti, tutte
le notizie e le informazioni utili per l’espletamento del mandato elettorale; ne consegue che
l’Azienda municipale ambiente (A.M.A.), in quanto ente strumentale del comune per la gestione
di servizi pubblici (art. 23, comma 6 della legge n. 142/1990), ove espressamente richiesta da
un consigliere comunale nell’esercizio dell’incarico elettorale assunto, ai sensi dell’art. 20,
comma 1, lett. c) della legge n. 675/1996 è obbligata a comunicare i nominativi dei dipendenti
preposti alle proprie sedi territoriali, senza dover previamente acquisire il consenso dei singoli
interessati.
• Garante 29 maggio 1998, in Bollettino n. 4, pag. 9 (v. anche www.garanteprivacy.it: doc. n. 42144)
Le aziende speciali esercenti servizi pubblici, quali enti strumentali del comune per la
gestione dei servizi dell’ente locale (art. 23, comma 6 della legge n. 142/1990), essendo assog-
gettate, in quanto enti pubblici economici, al regime che la legge n. 675/1996 prevede per i sog-
getti privati che trattano dati personali, sono tenute all’osservanza, fra l’altro, della disposizione
dell’art. 20, comma 1, lett. c), che esime tali soggetti dall’obbligo di richiedere il consenso dell’in-
teressato nel caso in cui il trattamento sia effettuato per adempiere ad una disposizione conte-
nuta in una legge, in una norma comunitaria o in un regolamento. Si configura, quindi, come
obbligo di tali aziende quello di comunicare ai consiglieri comunali i dati che questi richiedano, al
fine dell’espletamento del loro mandato, nell’esercizio del generale diritto di accesso, loro confe-
rito dall’art. 31, comma 5 della legge n. 142/1990, ai dati contenuti negli archivi del comune e delle
aziende ed enti da questo dipendenti (fattispecie relativa alla richiesta di un consigliere comunale
di conoscere i nominativi dei dipendenti dell’azienda preposti alle sedi territoriali della stessa).
• Garante 10 giugno 1998, in Bollettino n. 5, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 39348)
Premesso che la normativa in materia di protezione dei dati personali posta dalla legge
n. 675/1996 non ha abrogato ma, anzi, ha confermato (art. 43, comma 2) le disposizioni conte-
nute nella legge n. 135/1990 in materia di A.I.D.S., va rilevato che il d.lg. 135/1999 sul tratta-
mento di dati sensibili effettuato da soggetti pubblici considera di rilevante interesse pubblico il
trattamento dei dati strettamente necessario allo svolgimento delle funzioni di controllo, di indi-
rizzo politico e di sindacato ispettivo atte a consentire l’espletamento di un mandato elettivo,
quale quello dei consiglieri comunali. Peraltro, il diritto di accesso ai dati da parte dei predetti
incontra un limite nel rispetto dei principi di pertinenza, essenzialità e compatibilità con la fun-
zione perseguita, ribaditi, anche in materia di dati sensibili, dagli artt. 1 - 5 del citato d.lg..
• Garante 8 febbraio 2001, in Bollettino n. 17, pag. 5 (v. anche www.garanteprivacy.it: doc. n. 49240)
Giornalisti ed editori
• V.: PRIVATI ED ENTI PUBBLICI ECONOMICI > SETTORI DI ATTIVITÀ > ATTIVITÀ GIORNALISTICA > CASI
PARTICOLARI > SEGRETO PROFESSIONALE DEL GIORNALISTA (P. 91)
La legge n. 675/1996, che considera “dato personale” qualunque informazione che con-
senta l’identificazione del soggetto interessato, anche se derivante da suoni o immagini (es.: regi-
strazioni sonore, filmati, ecc.), riguarda tutte le operazioni di trattamento dei dati, a prescindere
dal fatto che le informazioni trattate siano contenute in una banca dati o in un archivio. Anche
un’intervista o un colloquio, quindi, come qualsiasi altra dichiarazione, opinione, o manifesta-
zione del pensiero proveniente dall’interessato (uno scritto, un saggio, un articolo, ecc.), costitui-
scono informazioni che riguardano la sua persona e come tali “dati personali”, essendo del tutto
irrilevante la forma in cui sono trattate o gli eventuali supporti che le contengono. Ne consegue
che l’interessato ha pieno diritto di ottenere dall’editore di un quotidiano e dal giornalista autore
dell’articolo la comunicazione, in una forma chiaramente intelligibile (es.: attraverso riproduzione
su supporto sonoro o cartaceo), della registrazione di una propria intervista rilasciata al giornale
e poi divenuta oggetto dell’articolo.
• Garante 26 novembre 1998, in Bollettino n. 6, pag. 32 (v. anche www.garanteprivacy.it: doc. n. 40029)
Lavoro e previdenza
• V.: SOGGETTI PUBBLICI > SETTORI DI ATTIVITÀ > LAVORO E PREVIDENZA (P. 128)
Operazioni di finanziamento
Ai sensi della legge n. 675/1996, costituiscono dati personali del soggetto che chiede un
finanziamento le valutazioni sulla sua affidabilità economica che una società finanziaria pone a
base della decisione di rigetto della domanda. Tali motivazioni, quindi, possono essere oggetto
dell’istanza di accesso prevista dall’art. 13 della legge e del successivo ricorso al Garante pro-
posto ai sensi dell’art. 29.
• Garante 25 ottobre 2001, in Bollettino n. 23, pag. 91 (v. anche www.garanteprivacy.it: doc. n. 40305)
R.a.i.
Le attività di trattamento effettuate dalla R.a.i. in qualità di responsabile del Ministero delle
finanze, ai fini della gestione degli abbonamenti al servizio radiotelevisivo, non possono rien-
trare nei casi, indicati dall’art. 14 della legge n. 675/1996, di esclusione dall’esercizio dei diritti
attribuiti dall’art. 13 della stessa legge. Sulla società concessionaria e sull’amministrazione
finanziaria incombe quindi l’obbligo di fornire riscontro senza ritardo alle richieste avanzate
dagli interessati in base al citato art. 13.
• Garante 12 luglio 2000, in Bollettino n. 13, pag. 38 (v. anche www.garanteprivacy.it: doc. n. 30923)
In caso di esercizio da parte dell’interessato del diritto di accesso ai dati personali ai sensi
dell’art. 13 della legge n. 675/1996, il titolare o il responsabile del trattamento debbono comu-
nicare non solo le categorie e i tipi di dati, ma i singoli dati detenuti, specificando tutte le infor-
mazioni oggetto di trattamento, al fine di consentire all’interessato di valutarle ed eventual-
mente esercitare la facoltà di aggiornare, integrare o correggere i dati che si rivelassero inesatti
o incompleti.
• Garante 19 dicembre 1998, in Bollettino n. 6, pag. 37 (v. anche www.garanteprivacy.it: doc. n. 39969)
Il diritto all’identità personale, tutelato dall’art. 1 della legge n. 675/1996, può essere leso
dall’avvenuta pubblicazione su un quotidiano di vari articoli di stampa che, attraverso un erro-
neo riferimento alla persona del ricorrente ed al suo stato coniugale, ovvero mediante un’ine-
satta utilizzazione del suo cognome, gli abbiano attribuito comportamenti posti in essere da
altri, con conseguente distorsione della sua immagine. In tal caso, ai sensi dell’art. 29, comma 4
della legge, non solo dev’essere fatto ordine, sia all’editore che al direttore del quotidiano, di
cessare il trattamento illegittimo, ma, ai fini di un’effettiva tutela dei diritti dell’interessato,
dev’essere ordinata la rettifica dei dati personali trattati, con attestazione, in favore del predetto,
della circostanza che tale rettifica è stata portata a conoscenza di coloro ai quali erano stati ori-
ginariamente diffusi i detti dati, attraverso la pubblicazione, sul medesimo quotidiano, di un
apposito comunicato in tal senso.
• Garante 19 aprile 1999, in Bollettino n. 8, pag. 31 (v. anche www.garanteprivacy.it: doc. n. 39033)
Il registro di battesimo che riporta i dati di una persona che si professa atea non contiene
dati trattati illecitamente, né notizie inesatte o incomplete, in quanto documenta correttamente
un evento – il battesimo – realmente avvenuto. La registrazione del battesimo, inoltre, non costi-
tuisce solo un dato relativo all’aderente, ma rappresenta un aspetto della vita – ed anche un dato
– dell’organismo che lo detiene, il quale non può cancellare la traccia di un avvenimento che sto-
ricamente l’ha riguardato, se non a costo di modificare la stessa rappresentazione della propria
realtà. Ne consegue che è infondata, e non può pertanto essere accolta, la richiesta dell’interes-
sato, contenuta nel ricorso proposto al Garante ai sensi dell’art. 29 della legge n. 675/1996, di
vedere cancellati il proprio nominativo e la data del battesimo ricevuto dai registri parrocchiali
dei battezzati.
• Garante 13 settembre 1999, in Bollettino n. 9, pag. 54 (v. anche www.garanteprivacy.it: doc. n. 30887)
La persona che si professa atea può ottenere, anche attraverso il ricorso al Garante, di ren-
dere palese tale sua convinzione attraverso la rettificazione o aggiornamento dei dati personali
Ai sensi dell’art. 20, comma 1, lett. c), della legge n. 675/1996, la comunicazione dei dati
relativi all’indebitamento della clientela effettuata dagli intermediari finanziari alla Centrale
rischi della Banca d’Italia, in quanto dovuta per legge, non è sottoposta all’obbligo della pre-
ventiva acquisizione del consenso dei singoli interessati, cui resta preclusa la possibilità di chie-
dere la cancellazione dei dati o di opporsi al relativo trattamento.
• Garante 17 ottobre 2001, in Bollettino n. 23, pag. 29 (v. anche www.garanteprivacy.it: doc. n. 40907)
I dati personali dell’interessato detenuti da una c.d. “centrale rischi“ privata attestanti
omissioni o ritardi nei pagamenti, ove si rivelino errati o inesatti, possono essere oggetto dell’i-
stanza formulata al titolare ai sensi dell’art. 13 della legge n. 675/1996 e del successivo ricorso
di cui all’art. 29 della legge al fine della loro cancellazione, aggiornamento o rettifica.
• Garante 28 novembre 2001, in Bollettino n. 23, pag. 60 (v. anche www.garanteprivacy.it: doc. n. 39793)
Viola i principi di pertinenza e non eccedenza nella diffusione dei dati personali, fissati dal-
l’art. 9 della legge n. 675/1996, l’esposizione nella bacheca condominiale, posta in luogo acces-
sibile anche ad estranei al condominio, dell’ordine del giorno di una assemblea che riporti anche
la situazione debitoria di singoli condomini. Ai sensi degli artt. 13 e 29 della legge, quindi, il con-
domino interessato può agire per ottenere la rimozione dalla bacheca dei dati relativi alla pro-
pria morosità.
• Garante 12 dicembre 2001, in Bollettino n. 23, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 31007)
Opposizione al trattamento
In caso di violazione del diritto di opposizione, non possono trovare applicazione le san-
zioni previste dagli artt. 34 e ss. della legge n. 675/1996, in quanto non espressamente richia-
mati dall’art. 13 della medesima legge.
• Garante 27 marzo 1998, in Bollettino n. 4, pag. 32 (v. anche www.garanteprivacy.it: doc. n. 42026)
A differenza di quanto stabilito in tema di esercizio del diritto alla cancellazione dei dati
previsto dall’art. 13, comma 1, lett. c), n. 2 della legge n. 675/1996, il diritto di opposizione al trat-
tamento, di cui alla successiva lett.e), può essere esercitato dall’interessato senza che sia neces-
sario addurre alcuna motivazione.
• Garante 27 marzo 1998, in Bollettino n. 4, pag. 32 (v. anche www.garanteprivacy.it: doc. n. 42026)
L’opposizione per motivi legittimi al trattamento dei dati personali operato da un quoti-
diano (art. 13, comma 1, lett. d), della legge n. 675/1996) è infondata quando l’articolo trae
spunto da atti e documenti accessibili al pubblico, di cui sono riportati brevi stralci, e la vicenda
riguarda un fatto che riveste interesse pubblico perché relativa al corretto svolgimento dell’atti-
Va dichiarato infondato il ricorso, proposto ai sensi dell’art. 29 della legge n. 675/1996, con
il quale l’interessato eserciti il diritto, attribuito dall’art. 13, comma 1, lett. d) della legge, di
opporsi al trattamento dei dati operato dal titolare, ove l’interessato stesso non specifichi in
maniera chiara né comprovi sufficientemente i motivi legittimi posti a base della sua richiesta.
• Garante 27 febbraio 2001, in Bollettino n. 17, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40485)
Ove l’interessato con il ricorso ex art. 29 della legge n. 675/1996 eserciti il diritto di oppo-
sizione attribuito dal comma 1, lett. d), dell’art. 13 della legge in relazione ad operazioni di trat-
tamento già effettuate dal titolare, in particolare attraverso la già avvenuta diffusione dei dati, la
richiesta deve essere presa in esame dal Garante in considerazione della possibilità di una even-
tuale, successiva divulgazione dei dati da parte del titolare.
• Garante 27 febbraio 2001, in Bollettino n. 17, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40485)
Ai sensi dell’art. 20, comma 1, lett. c), della legge n. 675/1996, la comunicazione dei dati
relativi all’indebitamento della clientela effettuata dagli intermediari finanziari alla Centrale
rischi della Banca d’Italia, in quanto dovuta per legge, non è sottoposta all’obbligo della pre-
Va dichiarato non luogo a provvedere sul ricorso formulato ai sensi dell’art. 29 della legge
n. 675/1996 teso a conoscere l’origine dei dati personali in possesso del titolare, ove questi for-
nisca idoneo riscontro, chiarendo, attraverso una dettagliata ricostruzione temporale della
vicenda, accompagnata dall’allegazione di una scheda, le modalità di acquisizione dei dati, a
cui l’interessato, che le contesta, non opponga che generiche ed indimostrate affermazioni con-
trarie.
• Garante 19 dicembre 2001, in Bollettino n. 23, pag. 42 (v. anche www.garanteprivacy.it: doc. n. 41131)
La valutazione del pregiudizio che, ai sensi dell’art. 14, comma 1, lett. e) della
legge n. 675/1996, consente il differimento dell’esercizio dei diritti previsti dall’art. 13, dev’essere
effettuata caso per caso, con onere probatorio a carico del titolare del trattamento; in ogni caso,
tale differimento può riguardare soltanto i dati valutativi e non quelli aventi carattere oggettivo o,
comunque, non incidenti sulle specifiche ragioni di tutela prospettate dal titolare del trattamento.
• Garante 13 ottobre 1999, in Bollettino n. 11/12, pag. 61 (v. anche www.garanteprivacy.it: doc. n. 42098)
La legge n. 675/1996 bilancia la tutela dei diritti della personalità con altri diritti quale
quello di difesa in quanto, se da un lato pone specifici limiti al diritto d’accesso, dall’altro evita
che l’eccezione basata sul diritto di difesa possa vanificare la tutela dei diritti riconosciuti nel-
l’art. 1 della legge. Pertanto, cessate le esigenze di tutela cui l’art. 14 fa riferimento, il diritto di
accesso può riespandersi, con conseguente obbligo d’integrale comunicazione all’interessato
dei dati richiesti.
• Garante 13 ottobre 1999, in Bollettino n. 11/12, pag. 61 (v. anche www.garanteprivacy.it: doc. n. 42098)
La legge n. 675/1996 bilancia la tutela dei diritti della personalità con altri diritti quale
quello di difesa in quanto, se da un lato pone specifici limiti al diritto d’accesso, dall’altro evita
che l’eccezione basata sul diritto di difesa possa vanificare la tutela dei diritti riconosciuti nel-
l’art. 1 della legge. Pertanto, ove venga accolta l’istanza di differimento di cui all’art. 14, il diritto
di accesso può riespandersi, con conseguente obbligo d’integrale comunicazione all’interessato
dei dati richiesti.
• Garante 30 dicembre 1999, in Bollettino n. 11/12, pag. 66 (v. anche www.garanteprivacy.it: doc. n. 40847)
La norma di cui all’art. 14, comma 1, lett. e) della legge n. 675/1996, che prevede il tempo-
raneo differimento dell’esercizio dei diritti previsti dall’art. 13, è di carattere eccezionale e, anche
se di potenziale ampio spettro applicativo, può essere invocata solo in presenza di comprovate
esigenze difensive del titolare del trattamento. Di conseguenza, la valutazione del pregiudizio
paventato dev’essere effettuata caso per caso, con onere di dimostrazione a carico del titolare
del trattamento; in ogni caso, tale differimento può riguardare soltanto i dati valutativi e non
quelli aventi carattere oggettivo o, comunque, non incidenti sulle specifiche ragioni di tutela pro-
spettate dal titolare del trattamento.
• Garante 30 dicembre 1999, in Bollettino n. 11/12, pag. 66 (v. anche www.garanteprivacy.it: doc. n. 40847)
Il pregiudizio previsto dall’art. 14, comma 1, lett. e), della legge n. 675/1996 per far valere
o difendere un diritto in sede giudiziaria, che comporta il temporaneo differimento dell’esercizio
dei diritti previsti dall’art. 13 della legge, la cui valutazione il Garante deve effettuare caso per
caso, e sulla base di concreti elementi forniti dal titolare del trattamento, è ravvisabile nel caso
di una specifica fase precontenziosa suscettibile di sfociare a breve in una controversia giudizia-
ria (fattispecie relativa alla richiesta di accesso ai dati contenuti in una perizia medico legale
redatta dal consulente della società assicurativa ed alla necessità di non pregiudicare la posi-
zione delle parti in ordine alle deduzioni istruttorie concernenti la data effettiva dell’infortunio e
la preesistenza di una patologia rispetto alla stipula della polizza).
• Garante 28 dicembre 2000, in Bollettino n. 16, pag. 12 (v. anche www.garanteprivacy.it: doc. n. 30963)
Il differimento dell’accesso ai dati previsto dall’art. 14, comma 1, lett. e), della legge
n. 675/1996 attiene solo ai profili di tipo valutativo contenuti nella relazione medico legale
redatta dal consulente della società assicurativa, non anche ai dati di tipo identificativo o aventi
carattere obiettivo o comunque non incidenti sulle specifiche ragioni di tutela prospettate dal
titolare del trattamento.
• Garante 28 dicembre 2000, in Bollettino n. 16, pag. 12 (v. anche www.garanteprivacy.it: doc. n. 30963)
• Garante 22 gennaio 2001, in Bollettino n. 16, pag. 17 (v. anche www.garanteprivacy.it: doc. n. 39961)
L’esercizio del diritto di accesso, come ogni altro diritto tutelato dall’art. 13 della legge
n. 675/1996, può essere temporaneamente differito al fine di non pregiudicare il diritto di difesa
del titolare del trattamento (principio applicato in relazione a fattispecie di accesso ai dati con-
tenuti in una perizia medico legale). Il differimento può concernere solamente i dati di tipo valu-
tativo, non quelli di tipo identificativo od oggettivo; l’indagine sull’esistenza del pregiudizio giu-
stificativo va effettuata da parte del Garante caso per caso, anche sulla base di concreti elementi
forniti dal titolare del trattamento (principio applicato in relazione ad una specifica situazione
precontenziosa ed ai tempi necessari per l’espletamento della perizia contrattuale rimessa al
collegio medico previsto dalle condizioni generali di polizza).
• Garante 17 gennaio 2001, in Bollettino n. 16, pag. 20 (v. anche www.garanteprivacy.it: doc. n. 38925)
Il pregiudizio previsto dall’art. 14, comma 1, lett. e), della legge n. 675/1996 per far valere
o difendere un diritto in sede giudiziaria, che comporta il temporaneo differimento dell’esercizio
dei diritti previsti dall’art. 13 della legge, la cui valutazione il Garante deve effettuare caso per
Secondo quanto prescritto dall’art. 14, comma 1, lett. e), della legge n. 675/1996, l’eserci-
zio del diritto di accesso (nella specie, ai dati contenuti in una perizia medico legale), come di
ogni altro diritto tutelato dall’art. 13, può essere temporaneamente differito al fine di non pre-
giudicare il diritto di difesa del titolare del trattamento. Il differimento può concernere solamente
i dati di tipo valutativo, non quelli di tipo identificativo o oggettivo; l’indagine sull’esistenza del
pregiudizio giustificativo va effettuata da parte del Garante caso per caso, anche sulla base di
concreti elementi forniti dal titolare del trattamento (fattispecie relativa alla richiesta di consu-
lenza tecnica di ufficio avanti al giudice di pace).
• Garante 19 febbraio 2001, in Bollettino n. 17, pag. 16 (v. anche www.garanteprivacy.it: doc. n. 40505)
Secondo quanto prescritto dall’art. 14, comma 1, lett. e), della legge n. 675/1996, l’eserci-
zio del diritto di accesso (nella specie, ai dati contenuti in una perizia medico legale), come di
ogni altro diritto tutelato dall’art. 13, può essere temporaneamente differito al fine di non pre-
giudicare il diritto di difesa del titolare del trattamento. Il differimento può concernere i soli dati
di tipo valutativo, non quelli di tipo identificativo o oggettivo; l’indagine sull’esistenza del pre-
giudizio giustificativo va effettuata da parte del Garante caso per caso, anche sulla base di con-
creti elementi forniti dal titolare del trattamento (fattispecie relativa ad una fase precontenziosa
atta a preludere, a causa del contrasto creatosi fra le parti in ordine all’esistenza delle conse-
guenze fisiche derivate dal sinistro, ad un accertamento in sede giudiziaria).
• Garante 19 aprile 2001, in Bollettino n. 19, pag. 15 (v. anche www.garanteprivacy.it: doc. n. 39801)
L’esercizio del diritto di accesso, come ogni altro diritto tutelato dall’art. 13 della legge
n. 675/1996, può essere temporaneamente differito al fine di non pregiudicare il diritto di difesa
del titolare del trattamento (principio applicato in relazione a fattispecie di accesso ai dati con-
tenuti in una perizia medico legale). Il differimento può concernere solamente i dati di tipo valu-
tativo, non quelli di tipo identificativo od oggettivo; l’indagine sull’esistenza del pregiudizio giu-
stificativo va effettuata da parte del Garante caso per caso, anche sulla base di concreti elementi
forniti dal titolare del trattamento, con conseguente sua esclusione laddove quest’ultimo, in via
meramente ipotetica, si limiti ad allegare soltanto l’eventualità di una futura controversia.
• Garante 3 maggio 2001, in Bollettino n. 20, pag. 20 (v. anche www.garanteprivacy.it: doc. n. 39272)
• Garante 3 maggio 2001, in Bollettino n. 20, pag. 28 (v. anche www.garanteprivacy.it: doc. n. 41810)
L’esercizio del diritto di accesso, come ogni altro diritto tutelato dall’art. 13 della
legge n. 675/1996, può essere temporaneamente differito al fine di non pregiudicare il diritto di
difesa del titolare del trattamento (principio applicato in relazione a fattispecie di accesso ai dati
contenuti in una perizia medico legale). Il differimento può concernere solamente i dati di tipo
valutativo, non quelli di tipo identificativo od oggettivo; l’indagine sull’esistenza del pregiudizio
giustificativo va effettuata da parte del Garante caso per caso, anche sulla base di concreti ele-
menti forniti dal titolare del trattamento (nella specie, l’imminente deposito di una consulenza
tecnica d’ufficio nel procedimento civile pendente).
• Garante 17 maggio 2001, in Bollettino n. 20, pag. 13 (v. anche www.garanteprivacy.it: doc. n. 42232)
L’indagine sull’esistenza del pregiudizio giustificativo richiesto dall’art. 14, comma 1, lett. e),
della legge n. 675/1996, per il differimento dell’esercizio dei diritti tutelati dall’art. 13 della legge,
va effettuata da parte del Garante caso per caso, sulla base di concreti elementi forniti dal titolare
del trattamento o comunque emergenti dagli atti. Non può essere accolta la richiesta, avanzata dal
titolare del trattamento, di differimento del diritto di accesso da parte dell’interessato ai dati di tipo
valutativo contenuti in una perizia medico legale, ove emerga che tra le parti non è in atto alcun con-
tenzioso, neppure in fase preliminare, e il titolare si limiti ad ipotizzare la possibilità di una futura
controversia, senza prospettare alcuna circostanza o elemento preciso che permettano di ravvisare
un concreto pregiudizio al diritto di difesa.
• Garante 27 dicembre 2001, in Bollettino n. 23, pag. 64 (v. anche www.garanteprivacy.it: doc. n. 42130)
• Ricorso al Garante
• Instaurazione di un autonomo
procedimento
• Segnalazioni e reclami
Ricorso al Garante
Inammissibilità
Allo stato della normativa, ai sensi dell’art. 4, comma 1, lett. a), della legge n. 675/1996,
ai trattamenti di dati effettuati dal Centro elaborazione dati del Dipartimento di pubblica
sicurezza si applicano soltanto alcune disposizioni della legge sulla privacy, fra le quali non
sono ricompresi l’art. 13 e l’art. 29; ne consegue che l’interessato, con riferimento a detti trat-
tamenti, ha soltanto la facoltà alternativa di sollecitare – a mezzo di segnalazione o reclamo
– una verifica del Garante sulla rispondenza degli stessi ai requisiti stabiliti dalla legge o dai
regolamenti, ovvero di rivolgersi al Tribunale ai sensi dell’art. 10, comma 5, della legge n.
121/1981 per ottenere l’eventuale rettifica, integrazione e cancellazione dei dati o la loro trasfor-
mazione in forma anonima. Pertanto, l’eventuale ricorso proposto ai sensi dell’art. 29 della legge
n. 675/1996 è inammissibile.
• Garante 14 marzo 2001, in Bollettino n. 18, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 30955)
È inammissibile il ricorso al Garante nella parte contenente la richiesta volta ad ottenere l’or-
dine di pubblicazione, su un quotidiano edito da una testata giornalistica, di una decisione emessa
dal Garante nei confronti della stessa testata, in quanto l’art. 29, comma 4 della legge n. 675/1996
non fa cenno a detta pubblicazione, che è invece prevista dall’art. 38 della legge come pena acces-
soria in caso di condanna penale.
• Garante 18 novembre 1998, in Bollettino n. 6, pag. 94 (v. anche www.garanteprivacy.it: doc. n. 41203)
Con il procedimento previsto dall’art. 29 della legge n. 675/1996 non si può lamentare
qualsiasi violazione delle disposizioni in tema di protezione dei dati personali, essendo il ricorso
azionabile solo per la tutela dei diritti tassativamente indicati dall’art. 13 della legge. Ne conse-
gue che è inammissibile la richiesta diretta ad ottenere, da parte del titolare o del responsabile
del trattamento, una risposta circa la manifestazione del proprio consenso al trattamento dei
dati od alla sottoscrizione del relativo modulo, trattandosi di istanza che non solo non è espres-
samente prevista dall’art. 13 della legge n. 675/1996, ma che non può essere fatta corrispon-
dere, neanche in via interpretativa, ad alcuno dei diritti in esso previsti.
• Garante 25 febbraio 2000, in Bollettino n. 11/12, pag. 31 (v. anche www.garanteprivacy.it: doc. n. 39248)
Il ricorso al Garante previsto dall’art. 29 della legge n. 675/1996 non può essere presen-
tato per qualsiasi violazione delle disposizioni sulla tutela dei dati personali (che può invece
essere oggetto di una segnalazione o di un reclamo all’Autorità), ma solo in relazione ad una pre-
cisa richiesta previamente rivolta al titolare o al responsabile del trattamento per la tutela di uno
o più diritti riconosciuti dall’art. 13 della legge; in difetto, il ricorso è inammissibile.
• Garante 8 giugno 2000, in Bollettino n. 13, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 40473)
Una richiesta inoltrata al titolare o al responsabile del trattamento al fine di raccogliere ele-
menti di prova ai fini investigativi ai sensi dell’art. 38 delle disp. att. al c.p.p., è inidonea a costi-
tuire valido esercizio del diritto di accesso previsto dall’art. 13 della legge n. 675/1996 e non è,
quindi, utile a consentire la successiva proposizione al Garante del ricorso ex art. 29 della legge,
che pertanto è inammissibile.
• Garante 8 giugno 2000, in Bollettino n. 13, pag. 35 (v. anche www.garanteprivacy.it:doc.nr.40473)
242 M a s s i m a r i o 1 9 9 7 / 2 0 0 1 • Tu t e l a a m m i n i s t r a t i v o - g i u r i s d i z i o n a l e e s a n z i o n i
Non possono essere prese in considerazione nell’ambito del procedimento attivato con il
ricorso di cui all’art. 29 della legge n. 675/1996, che deve essere quindi dichiarato inammissi-
bile, le richieste del ricorrente dirette non a far valere i diritti previsti dall’art. 13 della legge,
quanto a sollecitare l’esercizio dei poteri di accertamento e di controllo del Garante in relazione
alla presunta illiceità del trattamento dei dati e al mancato rispetto dell’obbligo di notificazione
all’Autorità. Tali richieste possono, peraltro, essere esaminate dal Garante in un distinto proce-
dimento instaurato ai sensi degli artt. 31 e 32 della legge, ove l’interessato esponga una pun-
tuale e documentata rappresentazione di specifici fatti e comportamenti.
• Garante 28 dicembre 2000, in Bollettino n. 14/15, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 42284)
Il ricorso formulato ai sensi dell’art. 29 della legge n. 675/1996 non può essere proposto
per lamentare qualsiasi violazione di un diritto della personalità, come può avvenire invece in
caso di segnalazioni o reclami che possono essere rivolti anch’essi al Garante, ma solo per la
tutela delle specifiche situazioni soggettive tassativamente indicate dall’art. 13 della legge.
• Garante 22 gennaio 2001, in Bollettino n. 16, pag. 34 (v. anche www.garanteprivacy.it: doc. n. 40133)
L’art. 13 della legge n. 675/1996 consente l’accesso ai dati personali da parte dei soggetti
cui i dati stessi si riferiscono. È quindi inammissibile il ricorso proposto, ai sensi dell’art. 29 della
legge, da alcuni dipendenti nei confronti del titolare/datore di lavoro, al fine di ottenere l’ac-
cesso alle note di qualifica e alle procedura di valutazione concernenti altri lavoratori.
• Garante 6 febbraio 2001, in Bollettino n. 17, pag. 24 (v. anche www.garanteprivacy.it: doc. n. 39236)
Non costituisce valido esercizio dei diritti di cui all’art. 13 della legge n. 675/1996, con con-
seguente inammissibilità del successivo ricorso proposto ai sensi dell’art. 29 della legge, la richie-
sta d’accesso ai documenti amministrativi, che attiene ad un distinto diritto tutelato dalla legge
n. 241/1990.
• Garante 27 giugno 2001, in Bollettino n. 21, pag. 10 (v. anche www.garanteprivacy.it: doc. n. 39224)
E’ inammissibile ai sensi dell’art. 29, comma 2, della legge n. 675/1996, e non può quindi
essere proposta per la prima volta in sede di ricorso, la richiesta volta ad ottenere l’indicazione del
responsabile del trattamento dei dati eventualmente designato ai sensi dell’art. 8 della legge, ove
non oggetto della previa istanza al titolare prevista dall’art. 13.
• Garante 3 settembre 2001, in Bollettino n. 22, pag. 63 (v. anche www.garanteprivacy.it: doc. nr. 41195)
Non è azionabile ai sensi dell’art. 13 della legge n. 675/1996, e deve essere quindi dichiarata
inammissibile, la richiesta rivolta la Garante di pubblicazione su un quotidiano del provvedimento
emesso all’esito del procedimento instaurato ai sensi dell’art. 29 della legge.
• Garante 30 ottobre 2001, in Bollettino n. 23, pag. 22 (v. anche www.garanteprivacy.it: doc. n. 42188)
Con il procedimento disciplinato dall’art. 29 della legge n. 675/1996 l’interessato non può
lamentare ogni presunta violazione di principi contenuti nella legge, come può invece avvenire
attraverso segnalazioni o reclami, ma solo le violazioni dei diritti riconosciuti dall’art. 13, oggetto
della relativa istanza preventivamente rivolta al titolare o al responsabile del trattamento. È quindi
inammissibile il ricorso con cui si chieda di accertare l’adempimento dell’obbligo di informativa
imposto dall’art. 10 della legge n. 675/1996.
• Garante 21 novembre 2001, in Bollettino n. 23, pag. 114 (v. anche www.garanteprivacy.it: doc. n. 40449)
Al di fuori dell’ipotesi del ricorso disciplinato dall’art. 29, la legge n. 675/1996 ha previsto la
possibilità di accertare le eventuali violazioni delle prescrizioni in tema di protezione dei dati per-
sonali anche attraverso autonome determinazioni assunte d’ufficio dal Garante, oltre che per
244 M a s s i m a r i o 1 9 9 7 / 2 0 0 1 • Tu t e l a a m m i n i s t r a t i v o - g i u r i s d i z i o n a l e e s a n z i o n i
impulso degli interessati mediante gli strumenti della “segnalazione” e del “reclamo” ai sensi del-
l’art. 31, comma 1, lett. d) della legge (nella specie il Garante, pur dichiarando inammissibile il
ricorso presentato ai sensi dell’art. 29, ha instaurato un autonomo procedimento con riferimento
alla distribuzione, da parte di un Comune, agli utenti degli asili nido, di un questionario finalizzato
all’acquisizione di dati personali di varia natura).
• Garante 7 giugno 1999, in Bollettino n. 9, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 42308)
Non possono essere prese in considerazione nell’ambito del procedimento attivato con il
ricorso di cui all’art. 29 della legge n. 675/1996, che deve essere quindi dichiarato inammissibile,
le richieste del ricorrente dirette non a far valere i diritti previsti dall’art. 13 della legge, quanto a
sollecitare l’esercizio dei poteri di accertamento e di controllo del Garante in relazione alla pre-
sunta illiceità del trattamento dei dati e al mancato rispetto dell’obbligo di notificazione
all’Autorità. Tali richieste possono, peraltro, essere esaminate dal Garante in un distinto procedi-
mento instaurato ai sensi degli artt. 31 e 32 della legge, ove l’interessato esponga una puntuale e
documentata rappresentazione di specifici fatti e comportamenti.
• Garante 28 dicembre 2000, in Bollettino n. 14/15, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 42284)
Risarcimento danni
Il Garante non è competente in ordine alle richieste di risarcimento dei danni, anche non
patrimoniali, causati dal trattamento dei dati personali, per i quali l’interessato deve rivolgersi
all’autorità giudiziaria.
• Garante 12 ottobre 1998, in Bollettino n. 6, pag. 34 (v. anche www.garanteprivacy.it: doc. n. 40005)
L’accertata inammissibilità del ricorso proposto al Garante ai sensi dell’art. 29 della legge
n. 675/1996 non pregiudica la possibilità per l’interessato di rivolgersi all’autorità giudiziaria per
far valere diritti rispetto ai quali detta legge non attribuisce competenza al Garante quale, ad
esempio, quello all’eventuale risarcimento del danno.
• Garante 12 ottobre 1998, in Bollettino n. 6, pag. 90 (v. anche www.garanteprivacy.it: doc. n. 30855)
246 M a s s i m a r i o 1 9 9 7 / 2 0 0 1 • Tu t e l a a m m i n i s t r a t i v o - g i u r i s d i z i o n a l e e s a n z i o n i
Il Garante non è competente in ordine a richieste di risarcimento danni in relazione a vio-
lazioni della legge n. 675/1996; tali richieste devono essere fatte valere avanti all’Autorità giudi-
ziaria ordinaria.
• Garante 26 ottobre 1999, in Bollettino n. 10, pag. 30 (v. anche www.garanteprivacy.it: doc. n. 40193)
Non rientra nella competenza del Garante l’esame di questioni attinenti alla validità di un
contratto o di alcune clausole ritenute vessatorie dall’interessato. Il ricorso proposto ai sensi del-
l’art. 29 della legge n. 675/1996 che abbia ad oggetto tali questioni è inammissibile.
• Garante 9 gennaio 1999, in Bollettino n. 7, pag. 42 (v. anche www.garanteprivacy.it: doc. n. 40803)
Legittimazione a ricorrere
I diritti previsti dall’art. 13 della legge n. 675/1996 possono essere esercitati solo dagli
Ove la tutela dei diritti di cui all’art. 13 della legge n. 675/1996 venga invocata in favore di
un minore, ai fini dell’ammissibilità della domanda è sufficiente che il ricorso ex art. 29 della
legge sia proposto da uno solo dei genitori esercenti la potestà, trattandosi di atto di ordinaria
amministrazione che, ai sensi dell’art. 320, comma 1, c.c., può essere compiuto disgiuntamente
da ciascun genitore.
• Garante 14 marzo 2001, in Bollettino n. 18, pag. 15 (v. anche www.garanteprivacy.it: doc. n. 39564)
Come richiesto dall’art. 18, comma 1, lett. c) del d.P.R. n. 501/1998, il ricorso al Garante
deve contenere, a pena di inammissibilità, l’indicazione del provvedimento richiesto all’Autorità.
È quindi inammissibile il ricorso nel quale l’interessato si limiti a domandare genericamente al
Garante di accertare se siano ravvisabili violazioni alla legge n. 675/1996 nel trattamento dei dati
operato dal titolare.
• Garante 13 settembre 1999, in Bollettino n. 9, pag. 49 (v. anche www.garanteprivacy.it: doc. n. 40831)
248 M a s s i m a r i o 1 9 9 7 / 2 0 0 1 • Tu t e l a a m m i n i s t r a t i v o - g i u r i s d i z i o n a l e e s a n z i o n i
Il ricorso è inammissibile quando non indica il preciso provvedimento che viene domandato
al Garante, come richiesto dall’art. 18, comma 1, lett. c) del d.P.R. n. 501/1998 (nel caso di spe-
cie, il ricorrente si è limitato a formulare una generica istanza di verifica della legittimità dell’in-
vio di una sollecitazione elettorale).
• Garante 29 settembre 1999, in Bollettino n. 10, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 41147)
Il ricorso proposto ai sensi dell’art. 29 della legge n. 675/1996, ove non preceduto dall’i-
stanza di cui all’art. 13 della legge, è inammissibile.
• Garante 9 gennaio 1999, in Bollettino n. 7, pag. 44 (v. anche www.garanteprivacy.it: doc. n. 42296)
• Garante 13 gennaio 1999, in Bollettino n. 7, pag. 46 (v. anche www.garanteprivacy.it: doc. n. 30875)
• Garante 7 aprile 1999, in Bollettino n. 8, pag. 40 (v. anche www.garanteprivacy.it: doc. n. 40397)
• Garante 14 marzo 2001, in Bollettino n. 18, pag. 28 (v. anche www.garanteprivacy.it: doc. n. 42216)
• Garante 14 marzo 2001, in Bollettino n. 18, pag. 30 (v. anche www.garanteprivacy.it: doc. n. 40145)
Il ricorso al Garante previsto dall’art. 29 della legge n. 675/1996 deve essere sempre prece-
duto, a pena di inammissibilità, dalla presentazione dell’istanza al titolare o al responsabile del
trattamento ai sensi dell’art. 13, comma 2, della legge. La proposizione immediata del ricorso è
invece possibile solo nell’ipotesi in cui il decorso del tempo necessario per interpellare il titolare o
il responsabile “esporrebbe taluno a pregiudizio imminente e irreparabile” (comma 2 citato).
• Garante 9 giugno 1999, in Bollettino n. 9, pag. 42 (v. anche www.garanteprivacy.it: doc. n. 40995)
Una richiesta inoltrata al titolare o al responsabile del trattamento al fine di raccogliere ele-
menti di prova ai fini investigativi ai sensi dell’art. 38 delle disp. att. al c.p.p., è inidonea a costi-
tuire valido esercizio del diritto di accesso previsto dall’art. 13 della legge n. 675/1996 e non è,
quindi, utile a consentire la successiva proposizione al Garante del ricorso ex art. 29 della legge,
che pertanto è inammissibile.
• Garante 8 giugno 2000, in Bollettino n. 13, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 40473)
La mancata preventiva proposizione dell’istanza di cui all’art. 13 della legge n. 675/1996 non
può essere ovviata dalla diretta comunicazione al titolare del trattamento del ricorso proposto ai
sensi dell’art. 29 della legge.
• Garante 14 marzo 2001, in Bollettino n. 18, pag. 28 (v. anche www.garanteprivacy.it: doc. n. 42216)
Ai sensi dell’art. 29, comma 2, della legge n. 675/1996, sono inammissibili, e non possono
quindi essere proposte per la prima volta in sede di ricorso, richieste di accesso ai dati, di cono-
scenza della loro origine, nonché della logica e delle finalità del trattamento, che non siano state
oggetto della previa istanza al titolare o al responsabile prevista dell’art. 13 della legge.
• Garante 10 aprile 2001, in Bollettino n. 19, pag. 26 (v. anche www.garanteprivacy.it: doc. n. 31015)
250 M a s s i m a r i o 1 9 9 7 / 2 0 0 1 • Tu t e l a a m m i n i s t r a t i v o - g i u r i s d i z i o n a l e e s a n z i o n i
Il ricorso inoltrato al Garante dall’interessato ai sensi all’art. 29 della legge n. 675/1996,
ove non preceduto dalla proposizione al titolare o al responsabile del trattamento dell’istanza di
cui all’art. 13 della legge, è inammissibile.
• Garante 20 giugno 2001, in Bollettino n. 21, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 41806)
È inammissibile ai sensi dell’art. 29, comma 2, della legge n.. 675/1996, e non può quindi
essere proposta per la prima volta in sede di ricorso, la richiesta volta ad ottenere l’indicazione
del responsabile del trattamento dei dati eventualmente designato ai sensi dell’art. 8 della
legge, ove non oggetto della previa istanza al titolare prevista dall’art. 13.
• Garante 3 settembre 2001, in Bollettino n. 22, pag. 63 (v. anche www.garanteprivacy.it: doc. n. 41195)
È inammissibile ai sensi dell’art. 29, comma 2, della legge n. 675/1996, e non può quindi
essere proposta per la prima volta in sede di ricorso, la richiesta volta ad ottenere l’inserimento
di una “precisazione” in relazione ai dati oggetto di trattamento, ove non contenuta nella pre-
ventiva istanza prevista dall’art. 13 della legge.
• Garante 3 ottobre 2001, in Bollettino n. 23, pag. 138 (v. anche www.garanteprivacy.it: doc. n. 41886)
In caso di mancata allegazione dell’istanza di cui all’art. 13 della legge n. 675/1996 agli atti
del procedimento promosso ex art. 29 della legge (anche a seguito dell’invito del Garante alla
regolarizzazione del medesimo), il ricorso va dichiarato inammissibile.
• Garante 20 giugno 2001, in Bollettino n. 21, pag. 23 (v. anche www.garanteprivacy.it: doc. n. 30975)
La mancata regolarizzazione, nei termini stabiliti dall’art. 19, comma 1, lett. c), del
d.P.R. n. 501/1998, del ricorso presentato ai sensi dell’art. 29 della legge n. 675/1996, com-
porta la declaratoria di inammissibilità del ricorso stesso.
• Garante 13 febbraio 2001, in Bollettino n. 17, pag. 34 (v. anche www.garanteprivacy.it: doc. n. 38913)
• Garante 24 aprile 2001, inedito (v. anche www.garanteprivacy.it: doc. n. 39196)
• Garante 24 settembre 2001, in Bollettino n. 22, pag. 68 (v. anche www.garanteprivacy.it: doc. n. 39688)
• Garante 24 settembre 2001, in Bollettino n. 22, pag. 69 (v. anche www.garanteprivacy.it: doc. n. 40293)
• Garante 5 dicembre 2001, in Bollettino n. 23, pag. 106 (v. anche www.garanteprivacy.it: doc. n. 39216)
• Garante 31 dicembre 2001, in Bollettino n. 23, pag. 107 (v. anche www.garanteprivacy.it: doc. n. 39560)
Non possono essere accolte richieste di cancellazione dei dati nei confronti di titolari, che
eventualmente li detengano, nei cui confronti l’interessato non abbia direttamente proposto il
ricorso di cui all’art. 29 della legge n. 675/1996, e che comunque non abbiano preso parte al
relativo procedimento; il titolare, nei cui confronti è presentato il ricorso, non ha infatti un potere
diretto di far cancellare dati contenuti in archivi gestiti da distinti ed autonomi titolari (nella spe-
cie, l’interessato ha proposto il ricorso nei confronti della società dalla quale ha ottenuto un
finanziamento, chiedendo però la cancellazione dei dati trasmessi da tale società ad altro sog-
getto, gestore di una “centrale rischi” privata, nei cui confronti il ricorrente non ha inoltrato
alcuna richiesta diretta).
• Garante 29 settembre 1999, in Bollettino n. 10, pag. 45 (v. anche www.garanteprivacy.it: doc. n. 40025)
• Garante 9 dicembre 1999, in Bollettino n. 10, pag. 48 (v. anche www.garanteprivacy.it: doc. n. 42300)
L’istanza rivolta ai sensi dell’art. 13 della legge n. 675/1996 al titolare del trattamento dei
dati personali non può essere considerata validamente proposta anche nei confronti di un altro
soggetto al quale venga indirizzata “per conoscenza”; tale dizione, infatti, non consente la ine-
quivoca identificazione di quest’ultimo quale effettivo destinatario della richiesta contenuta nel-
l’istanza. Il conseguente ricorso presentato nei suoi confronti ai sensi dell’art. 29 della legge è
quindi inammissibile.
• Garante 21 novembre 2001, in Bollettino n. 23, pag. 108 (v. anche www.garanteprivacy.it: doc. n. 39668)
Ai sensi dell’art. 29, comma 1, della legge n. 675/1996, che fissa il principio dell’alternati-
vità tra la giurisdizione dell’A.g.o. ed il procedimento dinanzi al Garante, il ricorso al Garante non
può essere proposto qualora, per il medesimo oggetto e tra le stesse parti, sia stata già adita
l’autorità giudiziaria; in tal caso, il ricorso dev’essere dichiarato inammissibile.
• Garante 28 maggio 2001, in Bollettino n. 20, pag. 42 (v. anche www.garanteprivacy.it: doc. n. 39841)
Il principio di alternatività di cui all’art. 29, comma 1, della legge n. 675/1996, opera sol-
252 M a s s i m a r i o 1 9 9 7 / 2 0 0 1 • Tu t e l a a m m i n i s t r a t i v o - g i u r i s d i z i o n a l e e s a n z i o n i
tanto tra il Garante e l’A.g.o., unica autorità avente giurisdizione sulle controversie concernenti
l’applicazione della legge n. 675/1996 e, segnatamente, sui diritti di cui all’art. 13; pertanto, ove
l’interessato abbia preventivamente esercitato il diritto di accesso ai documenti amministrativi
innanzi al Giudice amministrativo (legge n. 241/1990), non sussistono preclusioni in relazione
alla possibilità di esercitare il distinto diritto di accesso ai dati innanzi al Garante – con conse-
guente ammissibilità del relativo ricorso – o, in via alternativa, all’A.g.o..
• Garante 17 settembre 2001, in Bollettino n. 22, pag. 72 (v. anche www.garanteprivacy.it: doc. n. 39476)
Il ricorso al Garante previsto dall’art. 29 della legge n. 675/1996 deve essere sempre prece-
duto, a pena di inammissibilità, dalla presentazione dell’istanza al titolare o al responsabile del
trattamento ai sensi dell’art. 13, comma 2, della legge. La proposizione immediata del ricorso è
invece possibile solo nell’ipotesi in cui il decorso del tempo necessario per interpellare il titolare
o il responsabile “esporrebbe taluno a pregiudizio imminente e irreparabile” (comma 2 citato).
• Garante 9 giugno 1999, in Bollettino n. 9, pag. 42 (v. anche www.garanteprivacy.it: doc. n. 40995)
Profili generali
Nel caso di accoglimento, da parte del titolare del trattamento, dell’invito ad aderire for-
mulato dal Garante ai sensi dell’art. 20, comma 1 del d.P.R. 501/1998, va dichiarato non luogo a
provvedere sul ricorso presentato ai sensi dell’art. 29 della legge n. 675/1996.
• Garante 13 maggio 1999, in Bollettino n. 8, pag. 26 (v. anche www.garanteprivacy.it: doc. n. 39853)
Deve essere dichiarato non luogo a provvedere sul ricorso presentato al Garante ai sensi
dell’art. 29 della legge n. 675/1996 ove il titolare del trattamento aderisca spontaneamente alle
richieste avanzate dall’interessato.
• Garante 29 settembre 1999, in Bollettino n. 10, pag. 31 (v. anche www.garanteprivacy.it: doc. n. 39045)
Nel caso di adempimento, da parte del titolare del trattamento, all’istanza inoltrata dal-
l’interessato, ai sensi dell’art. 13 della legge n. 675/1996, con contestuale comunicazione dei
dati richiesti, va dichiarato non luogo a provvedere sul ricorso presentato al Garante ai sensi del-
l’art. 29 della legge.
• Garante 14 marzo 2001, in Bollettino n. 18, pag. 7 (v. anche www.garanteprivacy.it: doc. n. 40839)
• Garante 3 settembre 2001, in Bollettino n. 22, pag. 63 (v. anche www.garanteprivacy.it: doc. n. 41195)
• Garante 11 settembre 2001, in Bollettino n. 22, pag. 54 (v. anche www.garanteprivacy.it: doc. n. 39292)
• Garante 10 ottobre 2001, in Bollettino n. 23, pag. 132 (v. anche www.garanteprivacy.it: doc. n. 40321)
• Garante 10 ottobre 2001, in Bollettino n. 23, pag. 133 (v. anche www.garanteprivacy.it: doc. n. 40125)
• Garante 25 ottobre 2001, in Bollettino n. 23, pag. 134 (v. anche www.garanteprivacy.it: doc. n. 40433)
• Garante 5 dicembre 2001, in Bollettino n. 23, pag. 101 (v. anche www.garanteprivacy.it: doc. n. 31003)
Secondo il disposto dell’art. 20, comma 2, del d.P.R. n. 501/1998, in caso di adempimento
alle richieste del ricorrente con contestuale comunicazione dei dati richiesti, va dichiarato non
luogo a provvedere sul ricorso proposto ai sensi dell’art. 29 della legge n. 675/1996.
• Garante 4 giugno 2001, in Bollettino n. 21, pag. 29 (v. anche www.garanteprivacy.it: doc. n. 39220)
• Garante 27 giugno 2001, in Bollettino n. 21, pag. 27 (v. anche www.garanteprivacy.it: doc. n. 39436)
• Garante 19 luglio 2001, in Bollettino n. 22, pag. 55 (v. anche www.garanteprivacy.it: doc. n. 42224)
• Garante 19 luglio 2001, in Bollettino n. 22, pag. 59 (v. anche www.garanteprivacy.it: doc. n. 30967)
254 M a s s i m a r i o 1 9 9 7 / 2 0 0 1 • Tu t e l a a m m i n i s t r a t i v o - g i u r i s d i z i o n a l e e s a n z i o n i
a conoscere l’origine dei dati personali utilizzati per l’invio di comunicazioni politiche a fine di
propaganda elettorale e sulla opposizione all’ulteriore inoltro di analoghi messaggi, ove il tito-
lare del trattamento (nella specie, un candidato alle elezioni politiche) dia riscontro alle richie-
ste, precisando di avere estratto il nominativo del destinatario della comunicazione da elenchi
pubblici (in particolare, dall’elenco telefonico) e si impegni a depennarlo da ogni indirizzario in
suo possesso.
• Garante 10 ottobre 2001, in Bollettino n. 23, pag. 136 (v. anche www.garanteprivacy.it: doc. n. 39404)
Nel caso di adempimento, da parte del titolare del trattamento, all’istanza di cui all’art. 13
della legge n. 675/1996, con conseguente riscontro alle richieste dell’interessato, va dichiarato
non luogo a provvedere sul ricorso presentato ai sensi dell’art. 29 della legge.
• Garante 19 dicembre 2001, in Bollettino n. 23, pag. 117 (v. anche www.garanteprivacy.it: doc. n. 39312)
Il riscontro alle richieste dell’interessato effettuato oltre la scadenza del quinto giorno
dalla presentazione dell’istanza di cui all’art. 13 della legge n. 675/1996 costituisce adempi-
mento – seppur tardivo – dell’obbligo di comunicazione dei dati gravante sul titolare del tratta-
mento, con la conseguenza che dev’essere dichiarato non luogo a provvedere sul ricorso suc-
cessivamente proposto ai sensi dell’art. 29 della legge.
• Garante 12 dicembre 2001, in Bollettino n. 23, pag. 128 (v. anche www.garanteprivacy.it: doc. n. 42252)
Anche in caso di pronunzia, da parte del Garante, di declaratoria di non luogo a provvedere
conseguente all’adempimento del titolare alle istanze dell’interessato (nel caso di specie con-
cernenti l’immediata cancellazione di alcuni dati personali da specifiche pagine web), è fatta
Le richieste di cui all’art. 13, comma 1, lett. c), n. 1 della legge n. 675/1996, dirette a cono-
scere i dati, la loro origine nonché le finalità e la logica del loro trattamento, possono essere avan-
zate dagli interessati senza particolari formalità, ed anche verbalmente (cfr. art. 17, comma 1 del
d.P.R. n. 501/1998). Risulta, pertanto, illegittima la richiesta rivolta all’interessato di indicare, nel-
l’istanza di accesso ai dati presentata ai sensi dell’art. 13, eventuali codici identificativi ad esso
attribuiti dal titolare del trattamento (nella specie, la società titolare, che ha inviato all’interessato
una pubblicità non richiesta, ha asserito di non poter rispondere all’istanza di accesso nella quale
non era stato indicato il “codice cliente” assegnato all’interessato nel materiale pubblicitario).
• Garante 29 settembre 1999, in Bollettino n. 10, pag. 31 (v. anche www.garanteprivacy.it: doc. n. 39045)
Il ricorso di cui all’art. 29 della legge n. 675/1996 può essere presentato solo in riferimento
all’esercizio dei diritti di cui all’art. 13, comma 1, della legge. In tali ipotesi, il ricorrente deve
avanzare le proprie richieste direttamente nei confronti del titolare o del responsabile del tratta-
mento, ed attendere poi, prima di presentare il ricorso, almeno cinque giorni dalla data di pre-
sentazione di tali richieste, tranne che nell’ipotesi particolare di cui al comma 2 del citato art. 29.
• Garante 26 ottobre 1999, in Bollettino n. 10, pag. 30 (v. anche www.garanteprivacy.it: doc. n. 40193)
Prima di presentare ricorso al Garante previsto dall’art. 29 della legge n. 675/1996, l’inte-
ressato deve esercitare direttamente nei confronti del titolare o del responsabile del tratta-
mento, ai sensi dell’art. 13 della legge, il diritto di accesso ai dati che lo riguardano, proponendo
poi il ricorso, in caso di inerzia o di rigetto dell’istanza, non prima che siano trascorsi almeno cin-
que giorni dal suo inoltro (art. 29, comma 2).
• Garante 8 giugno 2000, in Bollettino n. 13, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 40473)
256 M a s s i m a r i o 1 9 9 7 / 2 0 0 1 • Tu t e l a a m m i n i s t r a t i v o - g i u r i s d i z i o n a l e e s a n z i o n i
Va considerato rispondente alle prescrizioni formali poste dall’art. 29 della legge
n. 675/1996 e dall’art. 18 del d.P.R. n. 501/1998 il ricorso preceduto da una lettera inviata al tito-
lare del trattamento nella quale l’interessato, pur senza citare espressamente l’art. 13, comma 1,
lett. d), della legge n. 675/1996, manifesti chiaramente la volontà di opporsi al trattamento dei
dati personali operato dal titolare.
• Garante 6 febbraio 2001, in Bollettino n. 17, pag. 30 (v. anche www.garanteprivacy.it: doc. n. 40615)
Garante 25 luglio 2001, in Bollettino n. 22, pag. 70 (v. anche www.garanteprivacy.it: doc. n. 42180)
L’interessato che, nell’esercizio dei diritti di cui all’art. 13 della legge n. 675/1996, richieda
al titolare del trattamento (nella specie una società assicurativa) il rilascio di copia delle fotogra-
fie scattate a seguito di un sinistro e riproducenti lo stato dei luoghi, è gravato dall’onere di dimo-
strare che nella documentazione fotografica siano riportate informazioni che possano essere con-
siderate alla stregua di suoi dati personali ai sensi dell’art. 1, comma 2, lett. c) della legge.
• Garante 8 novembre 2001, in Bollettino n. 23, pag. 67 (v. anche www.garanteprivacy.it: doc. n. 38909)
Accoglimento o rigetto
Profili generali
L’art. 13 della legge n. 675/1996 obbliga il titolare o il responsabile del trattamento dei dati
a fornire senza ritardo un riscontro compiuto ed analitico all’interessato in ordine a tutte le infor-
mazioni di carattere personale che lo riguardano, presenti in archivi o in atti detenuti dal mede-
simo titolare o responsabile.
• Garante 23 giugno 1998, in Bollettino n. 5, pag. 20 (v. anche www.garanteprivacy.it: doc. n. 39949)
Le richieste di cui all’art. 13, comma 1, lett. c), n. 1 della legge n. 675/1996, dirette a cono-
scere i dati, la loro origine nonché le finalità e la logica del loro trattamento, possono essere
avanzate dagli interessati senza particolari formalità, ed anche verbalmente (cfr. art. 17, comma
1 del d.P.R. n. 501/1998). Risulta, pertanto, illegittima la richiesta rivolta all’interessato di indi-
care, nell’istanza di accesso ai dati presentata ai sensi dell’art. 13, eventuali codici identificativi
Deve essere rigettato, perché infondato, il ricorso proposto ai sensi dell’art. 29 della legge
n. 675/1996, ove il titolare risponda in maniera esauriente alla richiesta dell’interessato di
accesso ai propri dati personali, ripetutamente ribadendo di non detenere i dati in questione, e
l’interessato non fornisca specifiche circostanze che possano far ritenere l’esistenza degli stessi,
anche al fine di provocare l’autonoma attivazione del Garante sulla base dei poteri conferiti
all’Autorità dall’art. 31 della legge.
• Garante 27 febbraio 2001, inedito (v. anche www.garanteprivacy.it: doc. n. 38921)
Va dichiarato infondato il ricorso, proposto ai sensi dell’art. 29 della legge n. 675/1996, con
il quale l’interessato eserciti il diritto, attribuito dall’art. 13, comma 1, lett. d) della legge, di
opporsi al trattamento dei dati operato dal titolare, ove l’interessato stesso non specifichi in
maniera chiara né comprovi sufficientemente i motivi legittimi posti a base della sua richiesta.
• Garante 27 febbraio 2001, in Bollettino n. 17, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40485)
Il titolare è tenuto a fornire riscontro, anche negativo, all’interessato che gli rivolga istanza
ex art. 13 della legge n. 675/1996 al fine di conoscere dell’esistenza o meno di dati personali che
lo riguardano (comma 1 , lett. c) , n. 1).
• Garante 27 febbraio 2001, in Bollettino n. 17, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40485)
Riscontro incompleto
Il titolare o il responsabile del trattamento dei dati personali devono comunicare, all’inte-
258 M a s s i m a r i o 1 9 9 7 / 2 0 0 1 • Tu t e l a a m m i n i s t r a t i v o - g i u r i s d i z i o n a l e e s a n z i o n i
ressato che ne faccia richiesta, non solo le categorie e i tipi di dati detenuti che lo riguardino, ma
i singoli dati, mettendo in chiaro tutte le informazioni di carattere personale oggetto di tratta-
mento, al fine di consentire all’interessato di valutare le informazioni presenti negli archivi ed
eventualmente esercitare la facoltà di aggiornare, correggere o integrare i dati che si rivelassero
inesatti o incompleti (art. 13, comma 1, lett. c) della legge n. 675/1996).
• Garante 3 settembre 1998, in Bollettino n. 6, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 38901)
In caso di esercizio da parte dell’interessato del diritto di accesso ai dati personali ai sensi
dell’art. 13 della legge n. 675/1996, il titolare o il responsabile del trattamento debbono comu-
nicare non solo le categorie e i tipi di dati, ma i singoli dati detenuti, specificando tutte le infor-
mazioni oggetto di trattamento, al fine di consentire all’interessato di valutarle ed eventual-
mente esercitare la facoltà di aggiornare, integrare o correggere i dati che si rivelassero inesatti
o incompleti.
• Garante 19 dicembre 1998, in Bollettino n. 6, pag. 37 (v. anche www.garanteprivacy.it: doc. n. 39969)
Il riscontro del titolare o del responsabile del trattamento all’istanza ex art. 13 della legge
n. 675/1996 dev’essere completo, cosicché l’interessato possa ottenere tutte le informazioni
richieste; ne consegue che, qualora con l’istanza d’accesso l’interessato abbia richiesto non solo
la cancellazione dei dati oggetto di trattamento, ma anche ulteriori informazioni (es.: i fini e le
modalità dell’intrapreso trattamento), il titolare, al fine di corrispondere compiutamente e nei
termini di legge a detta richiesta, non può limitarsi a dare immediato corso all’istanza di cancel-
lazione senza avere prima comunicato in forma intelligibile tutte le informazioni desiderate.
• Garante 13 gennaio 1999, in Bollettino n. 7, pag. 48 (v. anche www.garanteprivacy.it: doc. n. 40457)
Il riscontro del titolare o del responsabile del trattamento all’istanza ex art. 13 della legge
n. 675/1996 dev’essere completo, di talché l’interessato possa ottenere tutte le informazioni
richieste; ne consegue che dev’essere accolto il ricorso di cui all’art. 29 della legge nel caso in
cui il titolare, anziché fornire al ricorrente tutti i dati contenuti nei propri archivi e documenti, si
sia limitato ad una mera indicazione delle relative tipologie d’appartenenza.
• Garante 19 aprile 1999, in Bollettino n. 8, pag. 33 (v. anche www.garanteprivacy.it: doc. n. 39376)
Ove con il ricorso proposto ai sensi dell’art. 29 della legge n. 675/1996 l’interessato chieda
di conoscere l’origine dei dati personali che lo riguardano, il titolare del trattamento non può
limitarsi ad evidenziare che le informazioni utilizzate provengono da una banca dati costituita
prima dell’entrata in vigore della legge n. 675/1996, in quanto in tal modo indica all’interessato
solo la fonte più immediata di provenienza dei dati, senza specificare la loro reale provenienza,
come richiesto dall’art. 13, comma 1, lett. c), n. 1 (nella specie, il titolare non ha chiarito in che
Ai sensi degli artt. 13 della legge n. 675/1996 e 17 del d.P.R. n. 501/1998, il titolare del trat-
tamento deve comunicare, in modo compiuto ed analitico, le informazioni personali che riguar-
dano l’interessato, senza limitarsi ad una mera elencazione delle tipologie di dati detenuti.
• Garante 8 novembre 2001, in Bollettino n. 23, pag. 74 (v. anche www.garanteprivacy.it: doc. n. 40177)
• Garante 15 novembre 2001, in Bollettino n. 23, pag. 62 (v. anche www.garanteprivacy.it: doc. n. 39472)
Il riscontro incompleto, da parte del titolare del trattamento, all’invito ad aderire formulato
dal Garante ai sensi dell’art. 20 del d.P.R. n. 501/1998, determina l’accoglimento parziale del
ricorso proposto ai sensi dell’art. 29 della legge n. 675/1996.
• Garante 27 dicembre 2001, in Bollettino n. 23, pag. 119 (v. anche www.garanteprivacy.it: doc. n. 40225)
Il Garante può disporre la compensazione delle spese del procedimento di cui all’art. 29
della legge n. 675/1996 qualora, pur accogliendo il ricorso dell’interessato avente ad oggetto la
richiesta di accesso ai dati personali, rilevi l’avvenuto erroneo richiamo di normative diverse
dalla legge n. 675/1996 (in particolare della legge n. 241/1990), suscettibile di ingenerare nel
titolare del trattamento equivoci sull’effettivo contenuto dell’istanza.
• Garante 11 settembre 2001, in Bollettino n. 22, pag. 60 (v. anche www.garanteprivacy.it: doc. n. 40165)
• Garante 24 settembre 2001, in Bollettino n. 22, pag. 57 (v. anche www.garanteprivacy.it: doc. n. 41015)
• Garante 28 settembre 2001, in Bollettino n. 22, pag. 42 (v. anche www.garanteprivacy.it: doc. n. 41949)
Il Garante, anche qualora ritenga di definire un ricorso ai sensi dell’art. 29 della legge
n. 675/1996 con una pronunzia di mero rito (nel caso di specie una declaratoria di non luogo a
provvedere), conserva comunque il potere discrezionale di compensare, in tutto o in parte, le
spese del procedimento.
• Garante 28 dicembre 2000, in Bollettino n. 16, pag. 10 (v. anche www.garanteprivacy.it: doc. n. 40647)
260 M a s s i m a r i o 1 9 9 7 / 2 0 0 1 • Tu t e l a a m m i n i s t r a t i v o - g i u r i s d i z i o n a l e e s a n z i o n i
Non luogo a provvedere sul ricorso e condanna alle spese
Nell’ipotesi in cui il riscontro alle richieste dell’interessato sia successivo all’invito ad ade-
rire formulato dal Garante ai sensi dell’art. 20, comma 1, del d.P.R. n. 501/1998, il titolare del trat-
tamento è tenuto al rimborso al ricorrente delle spese del procedimento definito con declarato-
ria di non luogo a provvedere.
• Garante 19 aprile 1999, in Bollettino n. 8, pag. 29 (v. anche www.garanteprivacy.it: doc. n. 41774)
• Garante 3 maggio 2001, in Bollettino n. 20, pag. 5 (v. anche www.garanteprivacy.it: doc. n. 40017)
• Garante 3 maggio 2001, in Bollettino n. 20, pag. 15 (v. anche www.garanteprivacy.it: doc. n. 41139)
• Garante 17 maggio 2001, in Bollettino n. 20, pag. 11 (v. anche www.garanteprivacy.it: doc. n. 30959)
• Garante 4 giugno 2001, in Bollettino n. 21, pag. 12 (v. anche www.garanteprivacy.it: doc. n. 40791)
• Garante 20 giugno 2001, in Bollettino n. 21, pag. 21 (v. anche www.garanteprivacy.it: doc. n. 40241)
• Garante 20 giugno 2001, in Bollettino n. 21, pag. 25 (v. anche www.garanteprivacy.it: doc. n. 41958)
• Garante 27 giugno 2001, in Bollettino n. 21, pag. 33 (v. anche www.garanteprivacy.it: doc. n. 42240)
• Garante 4 luglio 2001, in Bollettino n. 22, pag. 22 (v. anche www.garanteprivacy.it: doc. n. 39488)
• Garante 25 luglio 2001, in Bollettino n. 22, pag. 70 (v. anche www.garanteprivacy.it: doc. n. 42180)
• Garante 1 settembre 2001, in Bollettino n. 22, pag. 62 (v. anche www.garanteprivacy.it: doc. n. 38993)
• Garante 11 settembre 2001, in Bollettino n. 22, pag. 66 (v. anche www.garanteprivacy.it: doc. n. 40639)
• Garante 11 settembre 2001, in Bollettino n. 22, pag. 78 (v. anche www.garanteprivacy.it: doc. n. 39576)
• Garante 17 settembre 2001, in Bollettino n. 22, pag. 65 (v. anche www.garanteprivacy.it: doc. n. 40727)
• Garante 31 dicembre 2001, in Bollettino n. 23, pag. 126 (v. anche www.garanteprivacy.it: doc. n. 40461)
L’adesione intervenuta solo dopo l’invito ad aderire formulato dal Garante ai sensi del-
l’art. 20, comma 1 del d.P.R. n. 501/1998 alle richieste avanzate dall’interessato con il ricorso
proposto ex art. 29 della legge n. 675/1996, comporta per il titolare del trattamento il paga-
mento delle spese del procedimento definito con declaratoria di non luogo a provvedere.
• Garante 27 ottobre 1999, in Bollettino n. 10, pag. 38 (v. anche www.garanteprivacy.it: doc. n. 38937)
Nell’ipotesi in cui il riscontro alle richieste dell’interessato sia successivo all’invito ad ade-
rire formulato dal Garante ai sensi dell’art. 20, comma 1, d.P.R. n. 501/1998, il titolare del tratta-
mento è tenuto al rimborso delle spese del procedimento definito con declaratoria di non luogo
a provvedere (fattispecie relativa all’accoglimento della richiesta dell’interessato diretta ad otte-
nere la rettifica, da parte della società con la quale egli aveva stipulato un contratto per regi-
strare alcuni nomi a dominio, dei dati relativi all’assegnazione di un dominio Internet, a causa
dell’erronea indicazione, come registrant, della società e non del ricorrente).
• Garante 7 marzo 2001, in Bollettino n. 18, pag. 5 (v. anche www.garanteprivacy.it: doc. n. 39021)
Nell’ipotesi in cui il riscontro alle richieste dell’interessato sia successivo alla presenta-
zione del ricorso proposto ai sensi dell’art. 29 della legge n. 675/1996, il titolare del trattamento
è tenuto al rimborso al ricorrente delle spese del procedimento definito con declaratoria di non
luogo a provvedere.
• Garante 12 dicembre 2001, in Bollettino n. 23, pag. 33 (v. anche www.garanteprivacy.it: doc. n. 39200)
• Garante 12 dicembre 2001, in Bollettino n. 23, pag. 124 (v. anche www.garanteprivacy.it: doc. n. 40233)
• Garante 12 dicembre 2001, in Bollettino n. 23, pag. 128 (v. anche www.garanteprivacy.it: doc. n. 42252)
• Garante 12 dicembre 2001, in Bollettino n. 23, pag. 130 (v. anche www.garanteprivacy.it: doc. n. 40915)
• Garante 19 dicembre 2001, in Bollettino n. 23, pag. 103 (v. anche www.garanteprivacy.it: doc. n. 40867)
La rinunzia agli atti formulata dal ricorrente determina l’estinzione del procedimento intro-
dotto ai sensi dell’art. 29 della legge n. 675/1996.
• Garante 22 maggio 2001, in Bollettino n. 20, pag. 40 (v. anche www.garanteprivacy.it: doc. n. 40529)
262 M a s s i m a r i o 1 9 9 7 / 2 0 0 1 • Tu t e l a a m m i n i s t r a t i v o - g i u r i s d i z i o n a l e e s a n z i o n i
L’interessato può esercitare nei confronti del titolare o del responsabile del trattamento dei
dati i diritti previsti dall’art. 13 della legge n. 675/1996, rivolgendosi poi al Garante o, alternati-
vamente, all’Autorità giudiziaria, nel caso in cui non ottenga risposta nel termine di cinque giorni
fissato dall’art. 29, comma 2 della legge, oppure nel caso in cui gli venga precluso l’esercizio dei
suddetti diritti.
• Garante 12 ottobre 1998, in Bollettino n. 6, pag. 34 (v. anche www.garanteprivacy.it: doc. n. 40005)
Il principio di alternatività di cui all’art. 29, comma 1, della legge n. 675/1996 opera sol-
tanto tra il Garante e l’A.g.o., unica autorità avente giurisdizione sulle controversie concernenti
l’applicazione della legge n. 675/1996 e, segnatamente, sui diritti di cui all’art. 13; pertanto, ove
l’interessato abbia preventivamente esercitato il diritto d’accesso ai documenti amministrativi
innanzi al giudice amministrativo (legge n. 241/1990), non sussistono preclusioni in relazione
alla possibilità di esercitare il distinto diritto di accesso ai dati personali dinanzi al Garante o, in
via alternativa, all’A.g.o.
• Garante 7 marzo 2001, in Bollettino n. 18, pag. 32 (v. anche www.garanteprivacy.it: doc. n. 40285)
Il Garante può in ogni caso instaurare d’ufficio un autonomo procedimento per valutare la
fondatezza dei rilievi e delle segnalazioni che rinvenga in un qualunque atto comunque perve-
nuto all’Ufficio, quale che sia la sua natura.
• Garante 7 ottobre 1999, in Bollettino n. 10, pag. 63 (v. anche www.garanteprivacy.it: doc. n. 31027)
La dichiarata inammissibilità del ricorso proposto ex art. 29 della legge n. 675/1996 non
impedisce al Garante di instaurare un autonomo procedimento, ai sensi dell’art. 31, comma 1,
lett. d), al fine di verificare la conformità alle disposizioni della legge del trattamento effettuato
dal titolare.
• Garante 15 dicembre 1999, in Bollettino n. 10, pag. 41 (v. anche www.garanteprivacy.it: doc. n. 30919)
Rientra tra i compiti del Garante l’instaurazione di un procedimento ai sensi dell’art. 31,
comma 1, lett. c), della legge n. 675/1996 al fine del controllo della liceità del trattamento dei
dati personali (finalità e modalità del trattamento, consultazione dei dati, comunicazione a
terzi, conservazione e distruzione) operato da un istituto bancario attraverso la raccolta delle
impronte digitali e dell’immagine del volto dei clienti all’ingresso dei locali della banca.
• Garante 28 febbraio 2001, in Bollettino n. 17, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 40181)
264 M a s s i m a r i o 1 9 9 7 / 2 0 0 1 • Tu t e l a a m m i n i s t r a t i v o - g i u r i s d i z i o n a l e e s a n z i o n i
n. 675/1996 si concluda con dichiarazione di non luogo a provvedere, per avere il titolare dato
riscontro alle richieste dell’interessato, resta integra la facoltà del Garante di instaurare un auto-
nomo procedimento ai sensi dell’art. 31, comma 1, della legge n. 675/1996 al fine della verifica
di particolari aspetti concernenti il trattamento dei dati operato dal titolare.
• Garante 10 ottobre 2001, in Bollettino n. 23, pag. 27 (v. anche www.garanteprivacy.it: doc. n. 38997)
Segnalazioni e reclami
Al di fuori dell’ipotesi del ricorso disciplinato dall’art. 29, la legge n. 675/1996 ha previsto
la possibilità di accertare le eventuali violazioni delle prescrizioni in tema di protezione dei dati
personali anche attraverso autonome determinazioni assunte d’ufficio dal Garante, oltre che per
impulso degli interessati mediante gli strumenti della “ segnalazione” e del “reclamo” ai sensi
dell’art. 31, comma 1, lett. d) della legge (nella specie il Garante, pur dichiarando inammissibile
il ricorso presentato ai sensi dell’art. 29, ha instaurato un autonomo procedimento con riferi-
mento alla distribuzione, da parte di un Comune, agli utenti degli asili nido, di un questionario
finalizzato all’acquisizione di dati personali di varia natura).
• Garante 7 giugno 1999, in Bollettino n. 9, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 42308)
Al di là della specifica ipotesi del ricorso ex art. 29, è possibile rivolgersi al Garante, in
ordine a presunte violazioni della legge n. 675/1996, anche attraverso gli strumenti della segna-
lazione e del reclamo previsti dall’art. 31, comma 1, lett. d) della legge.
• Garante 26 ottobre 1999, in Bollettino n. 10, pag. 30 (v. anche www.garanteprivacy.it: doc. n. 40193)
Allo stato della normativa, ai sensi dell’art. 4, comma 1, lett. a), della legge n. 675/1996, ai
trattamenti di dati effettuati dal Centro elaborazione dati del Dipartimento di pubblica sicurezza
si applicano soltanto alcune disposizioni della legge sulla privacy, fra le quali non sono ricompresi
l’art. 13 e l’art. 29; ne consegue che l’interessato, con riferimento a detti trattamenti, ha soltanto
la facoltà alternativa di sollecitare – a mezzo di segnalazione o reclamo – una verifica del Garante
sulla rispondenza degli stessi ai requisiti stabiliti dalla legge o dai regolamenti, ovvero di rivol-
gersi al Tribunale ai sensi dell’art. 10, comma 5, della legge n. 121/1981 per ottenere l’eventuale
rettifica, integrazione e cancellazione dei dati o la loro trasformazione in forma anonima. Pertanto,
l’eventuale ricorso proposto ai sensi dell’art. 29 della legge n. 675/1996 è inammissibile.
• Garante 14 marzo 2001, in Bollettino n. 18, pag. 35 (v. anche www.garanteprivacy.it: doc. n. 30955)
Al trattamento di dati personali operato, per ragioni di giustizia, da una Procura della
Repubblica, non si applicano, ai sensi dell’art. 4, comma 1, lett. d), della legge n. 675/1996, gli
artt. 13 e 29 della legge. Il ricorso presentato ai sensi dell’art. 29 è, quindi, inammissibile, salva
266 M a s s i m a r i o 1 9 9 7 / 2 0 0 1 • Tu t e l a a m m i n i s t r a t i v o - g i u r i s d i z i o n a l e e s a n z i o n i
la possibilità per l’interessato di inviare al Garante una segnalazione o un reclamo per chiedere
la verifica della rispondenza del trattamento ai requisiti stabiliti dalla legge o dai regolamenti
(artt. 31, comma 1, lett. d) e p) e 32 della legge n. 675/1996, in relazione all’art. 4, comma 1 della
legge).
• Garante 25 ottobre 2001, in Bollettino n. 23, pag. 19 (v. anche www.garanteprivacy.it: doc. n. 40739)
Nella nozione di trattamento di dati personali dell’interessato svolto per ragioni di giusti-
zia (art. 4, comma 1, lett. d),della legge n. 675/1996) rientra anche quello effettuato dagli uffici
giudiziari e dal Consiglio superiore della magistratura attinente alla responsabilità disciplinare
di un magistrato in relazione ad una vicenda giudiziaria che coinvolga l’interessato stesso.
Pertanto, nei confronti di tale trattamento non possono essere esercitati i diritti previsti dal-
l’art. 13 della legge n. 675/1996, né può essere proposto il ricorso di cui all’art. 29, ferma
restando la possibilità per l’interessato di inviare al Garante una segnalazione o un reclamo per
chiedere la verifica della rispondenza del trattamento ai requisiti stabiliti dalla legge o dai rego-
lamenti (artt. 31, comma 1, lett. d) e p) e 32 della legge n. 675/1996, in relazione all’art. 4,
comma 2 della legge).
• Garante 25 ottobre 2001, in Bollettino n. 23, pag. 31 (v. anche www.garanteprivacy.it: doc. n. 39845)
Art. 2 (Finalità)
comma 1 • cfr. art. 1, direttiva 95/46/CE;
art. 1, comma 1, legge n. 675/1996
comma 2 ---
Art. 4 (Definizioni)
comma 1, lett. a) • cfr. art. 2, direttiva 95/46 CE;
art. 1, comma 2, lett. b), legge n. 675/1996
lett. b) • art. 1, comma 2, lett. c), legge n. 675/1996
lett. c) • art. 10, comma 5, d.lg. n. 281/1999
lett. d) • cfr. art. 22, comma 1, legge n. 675/1996
lett. e) • cfr. art. 24, comma 1, legge n. 675/1996
lett. f ) • art. 1, comma 2, lett. d), legge n. 675/1996
lett. g) • art. 1, comma 2, lett. e), legge n. 675/1996
lett. h) • cfr. art. 19 legge n. 675/1996
lett. i) • art. 1, comma 2, lett. f ), legge n. 675/1996
lett. l) • art. 1, comma 2, lett. g), legge n. 675/1996
lett. m) • art. 1, comma 2, lett. h), legge n. 675/1996
lett. n) • art. 1, comma 2, lett. i), legge n. 675/1996
lett. o) • art. 1, comma 2, lett. l), legge n. 675/1996
lett. p) • art. 1, comma 2, lett. a), legge n. 675/1996
lett. q) • art. 1, comma 2, lett. m), legge n. 675/1996
comma 2, lett. a) • cfr. art. 2, par. 2, lett. d), direttiva del Parlamento
europeo e del Consiglio n. 2002/58/Ce
lett. b) • cfr. art. 2, lett. e), direttiva n. 2002/58/Ce
lett. c) • cfr. art. 2, par. 1, lett. a, direttiva del Parlamento
europeo e del Consiglio n. 2002/21/Ce
lett. d) • cfr. art. 2, par. 1, lett. d), direttiva n. 2002/21/CE
lett. e) • cfr. art. 2, par. 1, lett. c), direttiva n. 2002/21/CE
lett. f ) • cfr. art. 2, par. 1, lett. k), direttiva n. 2002/21/CE
lett. g) • cfr. art. 2,par. 2, lett. a), direttiva n. 2002/58/CE
Art. 13 (Informativa)
comma 1 • cfr. art. 10, direttiva 95/46/CE ;
art. 10, comma 1, legge n. 675/1996
comma 2 • art. 10, comma 2, legge n. 675/1996
comma 3 ---
comma 4 • art. 10, comma 3, legge n. 675/1996
comma 5 • art. 10, comma 4, legge n. 675/1996
Art. 24 (Casi nei quali può essere effettuato il trattamento senza il consenso)
comma 1, lett. a) • cfr. art. 7, direttiva 95/46/CE;
artt. 12, comma 1, lett. a) e 20, comma 1, lett. c),
legge n. 675/1996
lett. b) • artt. 12, comma 1, lett. b) e 20, comma 1, lett. a bis),
legge n. 675/1996
lett. c) • artt. 12, comma 1, lett. c) e 20, comma 1, lett. b),legge
n. 675/1996
lett. d) • artt. 12, comma 1, lett. f ) e 20, comma 1, lett. e),legge
n. 675/1996
lett. e) • art. 7, par. 1, lett. d), direttiva 95/46; artt. 12, comma 1,
lett. g) e 20 comma 1, lett. f ), legge n. 675/1996
lett. f ) • artt. 12, comma 1, lett. h) e 20, comma 1, lett. g), legge
n. 675/1996
Titolo VI - Adempimenti
Art. 37 (Notificazione del trattamento)
comma 1 • art. 18, direttiva 95/46/CE;
cfr. art. 7, comma 1, legge n. 675/1996
comma 2 ---
comma 3 • art. 28, comma 7, secondo periodo, legge n. 675/1996
comma 4 • art. 13, commi 1, 2, 3, 4, d.P.R. n. 501/1998
Titolo VII - Trasferimento dei dati all’estero • cfr. artt. 25 e 26, direttiva 95/46/CE
Art. 42 (Trasferimenti all’interno dell’Unione europea)
comma 1 ---
Art. 43 (Trasferimenti consentiti in Paesi terzi)
alinea del comma 1 • art. 28, comma 1, legge n. 675/1996
comma 1 • artt. 28, comma 4, eccetto la lett. g), e 26,
comma 2, legge n. 675/1996;
• art. 7, comma 4, d.lg n. 281/1999
Art. 44 (Altri trasferimenti consentiti) • art. 28, comma 4, lett. g), legge n. 675/1996
Art. 47 (Trattamenti per ragioni di giustizia) • art. 3, par. 2, (primo periodo) direttiva 95/46/CE;
art. 4, comma 1, lett. c) e d) e comma 2, legge
n. 675/1996
Art. 73 (Altre finalità in ambito amministrativo e sociale) • Provvedimento del Garante n. 1/P/2000
del 30 dicembre 1999 - 13 gennaio 2000
Art. 83 (Altre misure per il rispetto dei diritti degli interessati) ---
Art. 84 (Comunicazione di dati all’interessato)
comma 1 • art. 23, comma 2, legge n. 675/1996
comma 2 ---
Titolo VI - Istruzione
Capo I - Profili generali
Art. 95 (Dati sensibili e giudiziari) • art. 12, d.lg. n. 135/1999
Art. 100 (Dati relativi ad attività di studio e di ricerca) • art. 6, comma 4, d.lg. n. 204/1998
Art. 143 (Procedimento per i reclami) • art. 21, comma 3, legge n. 675/1996;
art. 31, comma 1, lett. c) e l), legge n. 675/1996
Art. 177 (Disciplina anagrafica, dello stato civile e delle liste elettorali) ---
Pubblicazione della
Presidenza del Consiglio dei Ministri
Dipartimento per l’informazione e l’editoria
Stampa e distribuzione:
Ufficio grafico dell’Istituto Poligrafico e Zecca dello Stato
Piazza di Monte Citorio, 121 presso il Dipartimento per l’informazione e l’editoria
00186 Roma
fax 06 69677785
www.garanteprivacy.it Progetto grafico:
www.dataprotection.org Vertigo Design
Massimario 1997-2001
Massimario
CONTRIBUTI
I PRINCIPI AFFERMATI DAL
G ARANTE NEI PRIMI CINQUE
ANNI DI AT TIVITÀ
www.garanteprivacy.it