Il Garante, in relazione ad una circolare delMinistero delle finanze, richiama l'attenzione sulla necessitàdi individuare in maniera più corretta la figura del titolaredel trattamento.

Roma, 9 dicembre 1997                

Ministero delle finanze                
Segretariato generale                
Ufficio Centrale per la programmazione e il                
coordinamento delle attività di informatica                
Divisione I                

e p.c. Autorità per l'informatica nella pubblicaamministrazione                
Via Po, 14                
Roma                

OGGETTO: Circolare n. 291/S del 13 novembre 1997recante direttive in materia di protezione dei dati personali.Rif. nota n. 14/97/MAN.

Con la circolare in oggetto, inviata per conoscenzaanche a questa Autorità, codesto Segretariato generaleha impartito alcune istruzioni relative all'applicazione dellalegge n. 675/1996 nell'ambito del Ministero delle finanze.

Il Garante ritiene doveroso segnalare che alcuneistruzioni sono basate su interpretazioni non corrispondenti allalegge n. 675/1996, in particolare per ciò che riguardal'identificazione della figura del «titolare» del trattamento.

Secondo la legge n. 675/1996, il «titolare»è la persona fisica o giuridica, la pubblica amministrazionee qualsiasi altro ente, associazione od organismo cui competonole scelte di fondo sulle finalità e sulle modalitàdel trattamento dei dati, anche per ciò che riguarda lasicurezza.

Il riferimento alla «persona fisica», checompare nella definizione del «titolare» (art. 1 legge675/1996), non riguarda coloro che amministrano o rappresentanola persona giuridica, la pubblica amministrazione o l'ente, maconcerne gli individui che effettuano un trattamento di dati atitolo personale (ad esempio, il libero professionista, il piccoloimprenditore), e che assumono individualmente la piena responsabilitàdi un'attività che va distinta nettamente, anche sul pianogiuridico, da quella che singole persone fisiche possono coordinarenell'ambito e nell'interesse di una persona giuridica, di un'impresao di un ente nel quale ricoprono incarichi di rilievo.

In altre parole, qualora il trattamento sia effettuatonell'ambito di una persona giuridica, di una pubblica amministrazioneo di un altro organismo, il «titolare» è l'entitànel suo complesso (ad esempio, la società, il ministero,l'ente pubblico, l'associazione, ecc.), anziché talunadelle persone fisiche che operano nella relativa struttura e checoncorrono, in concreto, ad esprimerne la volontà o chesono legittimati a manifestarla all'esterno (ad esempio, l'amministratoredelegato, il ministro, il direttore generale, il presidente, illegale rappresentante, ecc.). In molti casi, tali soggetti potrebberoassumere, semmai, la qualifica di «responsabile» (v.art. 8 legge n. 675/1996).

L'orientamento suesposto, che è pacifico anchein ambito comunitario, è confermato dal tenore letteraledella disposizione che reca la definizione di titolare (art. 1,comma 2, lett. d), legge n. 675/1996).

Tale norma, se interpretata in maniera diversa, ecioè ritenendo che la persona giuridica, la pubblica amministrazioneo l'ente possano individuare al proprio interno una o piùpersone fisiche titolari del trattamento, renderebbe illogicala sequenza dei soggetti indicati nella norma medesima, ove diseguito alla «persona fisica» (titolare del trattamento)è menzionata la persona giuridica, la persona fisica, l'ente,l'associazione o l'organismo titolare, appunto, del trattamento.

Le conclusioni alle quali si è poc'anzi pervenuti,e che sono illustrate anche nel modello di notificazione predispostoda questa Autorità, permettono di formulare due ulterioriosservazioni:

a) rispetto all'individuazione del titolare, la leggen. 675/1996 presuppone un approccio assai diverso da quello, bennoto, che deve essere seguito nell'applicazione della legge n.626/1994 in materia di sicurezza e igiene del lavoro;

b) la necessaria identificazione del Ministero dellefinanze quale titolare del trattamento non preclude l'applicazionedei principi generali in materia di formazione della volontàdell'ente e di delega di funzioni, nel senso che la volontàdel «titolare» (cioè, lo si ripete, del Ministerodelle finanze) sarà formata, anche agli effetti della disciplinasulla protezione dei dati, tenendo conto delle ordinarie attribuzionidegli organi previsti dall'atto costitutivo e dallo statuto. Dovràtenersi conto, tuttavia, del particolare rapporto tra il «titolare»e il «responsabile» del trattamento, che la legge n.675 disciplina in termini imperativi in attuazione del dettatocomunitario.

Quanto premesso, non preclude ulteriori considerazioniche riguardano le strutture di particolare complessitàcome il Ministero delle finanze.

La legge 675/1996 individua il titolare anche in un organismoal quale competano reali ed autonome scelte in ordine alle finalitàe alle modalità del trattamento.

Nelle istruzioni allegate al modello di notificazione,il Garante ha pertanto precisato che gli enti, le persone giuridichee le pubbliche amministrazioni articolate in direzioni generalio in sedi centrali, decentrate o periferiche (ad esempio, servizi,dipartimenti, aree anche geografiche, ecc.), sono «titolari»nel loro complesso dei trattamenti.

Tuttavia, se la singola direzione generale o areaesercita, tramite i propri organi, un potere decisionale realee del tutto autonomo sulle finalità e sulle modalitàdei trattamenti effettuati nel proprio ambito, non condizionatoda scelte effettuate a livello centrale o di vertice, la medesimadirezione o area potrebbe essere considerata come titolare deitrattamenti (ovvero, a seconda dei casi, come contitolare, assiemeal Ministero).

In conclusione, deve ritenersi che non sia possibileindividuare la titolarità del trattamento nelle personefisiche preposte ad una direzione generale o ad un'area, dovendotale qualità essere configurata in capo al Ministero (oppurealle complesse unità organizzative - direzione generaleo aree anche geografiche - qualora sia possibile riconoscere aqueste ultime potestà decisorie effettive e del tutto autonomein ordine al trattamento dei dati).

Resta ferma la facoltà del Ministero di designarealcuni soggetti (persone fisiche o giuridiche, enti od organismi)quali «responsabili» del trattamento, delineandone analiticamentee per iscritto i compiti attribuiti, e individuando al loro interno,se del caso, ulteriori livelli di responsabilità in baseall'organizzazione delle divisioni e degli uffici o alle tipologiedi trattamenti, di archivi e di dati.

Ad esempio, si potrebbero designare vari responsabilidistinti in base alle funzioni amministrative esercitate o allearee territoriali di operatività, ovvero in ragione dellecompetenze informatiche, del ruolo svolto quanto alla sicurezzadei sistemi, della titolarità di uffici per i rapporticon il pubblico, ecc., sempreché ciascuno di essi dimostril'esperienza, la capacità e l'affidabilità richiestedalla legge (art. 8 L.675/1996).

Infine, si precisa che le disposizioni della leggen. 675/1996 che prescrivono il consenso dell'interessato riguardanosoltanto i soggetti privati e gli enti pubblici economici, e nonsi applicano alle amministrazioni pubbliche.

Il Garante ritiene necessario che codesto Segretariatoriveda con sollecitudine le istruzioni impartite, ed osserva chetale revisione comporta la conseguente modifica degli aspettidi dettaglio sui quali la circolare si sofferma riguardo all'identificazionedel titolare.

Questa Autorità si dichiara sin d'ora disponibilea contribuire, nelle forme ritenute opportune, alla corretta definizionedi nuove direttive di cui si ravvisa l'urgenza.

IL PRESIDENTE