Delibera Archivi

Delibera

Provvedimento Garante per la protezione dei dati personali 18/6/2009

Redazione

Tutto cio’ premesso, il Garante:

a) dichiara l’illiceita’ del trattamento e conseguentemente vieta, a chiunque ne sia o ne venga in possesso, ogni trattamento e, in particolare, la diffusione, ai sensi dell’art. 154, comma 1, lett. d) del Codice, delle 27 immagini contenute nel compact disk, che ritraggono, nel contesto e con le modalita’ descritte in motivazione, persone, tra cui il segnalante, all’interno del parco di Villa Certosa o delle abitazioni ivi situate;
b) conseguentemente e’, altresi’, vietato ogni trattamento e in particolare la diffusione, ai sensi dell’art. 154, comma 1, lett. d) del Codice, delle ulteriori immagini, aventi oggetto e contenuto simili, riprese, nel contesto e con le modalita’ descritte in motivazione, dal sig. Antonello Zappadu all’interno del parco di Villa Certosa o delle abitazioni ivi situate, secondo quanto da lui stesso dichiarato a questo Garante;
c) dichiara non luogo a procedere in ordine alle 13 immagini raccolte in luoghi pubblici e alle altre 3 immagini raccolte nel villaggio turistico.
Si dispone la trasmissione di copia del presente provvedimento al Ministero della giustizia – Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.

© RIPRODUZIONE RISERVATA

Provvedimento Garante per la protezione dei dati personali 18/6/2009

Redazione

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
In data odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Filippo Patroni Griffi, segretario generale;
VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali);
ESAMINATA la documentazione in atti;
VISTA la segnalazione del 22 aprile 2008, con cui alcuni partecipanti alla compagine condominiale di Viale delle Legioni Romane n. 65, Milano, nel quadro di una più ampia vicenda oggetto di molteplici controversie anche giudiziarie, hanno lamentato l’illecita divulgazione di dati personali a loro medesimi riferiti da parte dello stesso condominio a mezzo dell’amministratore pro tempore;
VISTO quanto asserito dai segnalanti, secondo cui l’anzidetta divulgazione sarebbe avvenuta mediante affissione, in spazi condominali accessibili al pubblico, di un avviso di rimozione delle autovetture parcheggiate nel cortile condominiale (oggetto di lavori per la costruzione di posti auto interrati) contenente indicazioni relative al numero di posto auto e alle targhe dei veicoli riconducibili ai segnalanti, nonché le foto delle auto medesime (cfr. segnalazione del 22 aprile 2008, cit. pp. 2-3);
VISTO quanto ulteriormente contestato dai segnalanti, secondo cui il condominio, successivamente alla menzionata affissione, avrebbe anche comunicato a terzi (nel dettaglio, il legale di fiducia dello stesso condominio e alcuni soggetti incaricati, a vario titolo, dei lavori per la costruzione dei posti auto interrati) alcuni dati personali ai medesimi segnalanti riferiti (consistenti nella notizia della mancata rimozione delle autovetture dal cortile condominiale, dell’inosservanza della delibera assembleare per l’affidamento dei lavori preventivati -con conseguente incremento dei costi per l’esecuzione dell’appalto e relativa richiesta di rimborso-, nonché i dati relativi alla targa e al modello della propria autovettura), senza che costoro avessero "titolo, né motivo, né necessità alcuna" per venirne a conoscenza (cfr. segnalazione del 22 aprile 2008, cit. pp. 2);
VISTO quanto richiesto dagli istanti, con particolare riferimento al divieto di reiterare comportamenti analoghi a quello contestato, "astenendosi da future analoghe forme di comunicazione e/o diffusione a terzi dei dati personali" dei segnalanti (segnalazione 22 aprile 2008);
VISTA la nota di risposta del 30 settembre 2008, con la quale il condominio ha dichiarato, ai sensi e per gli effetti di cui all’art. 168 del Codice, relativamente all’affissione nella bacheca condominiale dell’avviso contenente dati riferiti anche alla targhe delle autovetture dei segnalanti, che ciò sarebbe avvenuto "con il solo e ragionevole intento di contenere le spese per le corrette comunicazioni ai condomini" (cfr. nota del 30 settembre 2008, cit., p. 9);
VISTO inoltre quanto dichiarato dal condominio in ordine alla comunicazione a vantaggio del proprio legale di fiducia delle targhe relative alle autovetture riconducibili ai segnalanti, avvenuta al fine di consentire la tutela dei diritti del condominio medesimo (onde consentire di "proporre contro questi ultimi il ricorso di urgenza necessario per sgomberare il cantiere": cfr. nota del 30 settembre 2008, cit., p. 4);
VISTE le ulteriori precisazioni rese dal condominio in ordine agli altri soggetti (coinvolti a vario titolo nell’appalto) cui sono stati comunicati i dati, che riferiscono della necessità per il condominio stesso, l’impresa e la direzione dei lavori di coordinarsi reciprocamente "per reagire di fronte alle molestie di fatto ed agli impedimenti frapposti da chi disattendeva le delibere ed impediva la esecuzione del contratto di appalto approvato e sottoscritto"; ciò, anche al fine di consentire l’individuazione di eventuali testimoni che potessero confermare l’accaduto in sede giudiziaria (cfr. nota del 30 settembre 2008, cit., pp. 4-5 e 13);
PRESO ATTO che il condominio ritiene concluse le vicende oggetto di lamentela (tenuto conto dell’avvenuta rimozione delle auto a seguito di specifico provvedimento cautelare adottato dall’autorità giudiziaria) e che, quindi, non "permane alcun trattamento dei dati relativi alle auto ed alle targhe dei condomini" (cfr. nota del 30 settembre 2008, cit., p. 7);
VISTE le ulteriori osservazioni formulate dalle parti con le note del 23 ottobre 2008 e del 28 novembre 2008 (in atti);
RILEVATO preliminarmente che l’esposizione nella bacheca condominiale dell’informazione relativa al comportamento tenuto da alcuni condomini -consistente nell’inosservanza dell’invito a rimuovere i veicoli dall’area comune (per consentire l’esecuzione di lavori autorizzati da previa delibera assembleare)- indirettamente individuabili mediante i riferimenti alla collocazione dei rispettivi veicoli in posti-auto numerati, delle targhe dei medesimi unitamente alle fotografie degli stessi (elementi tutti contenuti nella comunicazione esposta nella menzionata bacheca condominiale) costituisce un trattamento di dati personali ai sensi dell’art. 4, comma 1, lett. b), d.lg. n. 196/2003, con conseguente applicazione alle medesime della disciplina del Codice;
RILEVATO che il trattamento delle predette informazioni da parte del condominio, in base agli elementi allo stato in atti, avrebbe potuto essere effettuato con modalità parimenti efficaci ma meno invasive, ricorrendo a forme di comunicazione individualizzata nei confronti dei condomini che non avevano tempestivamente provveduto a rimuovere il veicolo, ovvero ricorrendo a un invito a provvedervi, pur affisso nella bacheca, ma privo di riferimenti atti ad identificare gli interessati (cfr. Provv. Garante 18 maggio 2006, doc. web n. 1297626, punto 3.2);
RITENUTO pertanto che, nel caso di specie, l’affissione dell’avviso contenente informazioni relative ai segnalanti è avvenuta in difformità da quanto previsto dalla disciplina in materia di protezione dei dati personali, avuto riguardo ai principi di pertinenza e non eccedenza delle informazioni trattate (art. 11, comma 1, lett. d), del Codice);
RITENUTO opportuno prescrivere al condominio di Viale delle Legioni Romane n. 65 (per il tramite dell’amministratore p.t.) l’adozione di misure volte a prevenire, limitatamente all’ulteriore diffusione di dati personali riferiti ai partecipanti alla compagine condominiale, la reiterazione di trattamenti in violazione della disciplina del Codice consistenti nella comunicazione mediante la bacheca condominiale di avvisi che non siano di carattere generale (artt. 144, 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice);
RILEVATO altresì che, tenuto conto delle dichiarazioni rese al riguardo dal condominio (secondo cui la comunicazione ai soggetti a vario titolo coinvolti nell’appalto di dati personali dei segnalanti sarebbe avvenuta al fine di un coordinamento reciproco tra gli stessi, anche nell’ottica di "individuare le persone da indicare come testi" in sede giudiziaria: cfr. nota del 28 novembre 2008, cit., p. 3, nonché nota del 30 settembre 2008, cit., p. 13), non risulta allo stato provato che tale comunicazione -fatta eccezione per il legale di fiducia dello stesso condominio- sia pertinente e non eccedente ai sensi dell’art. 11, comma 1, lett. d), del Codice rispetto alla finalità perseguita (tenere indenne il condominio dal danno conseguente alla mancata rimozione dei veicoli dall’area comune); ciò, tenuto conto che tale mancata rimozione risulta già comprovata dal materiale fotografico raccolto dal condominio (per il tramite dell’amministratore p.t.), oltre che dalla (verosimile) presenza in loco delle stesse imprese interessate (impossibilitate all’esecuzione dei lavori deliberati proprio in ragione della presenza dei veicoli non rimossi). Né peraltro risulta agli atti che, limitatamente a tale comunicazione, gli interessati abbiano prestato il proprio consenso (art. 23 del Codice) o che, comunque, ricorrano i presupposti alternativi di cui all’art. 24 del Codice;
RILEVATO, pertanto, che anche detta comunicazione non risulta avvenuta, allo stato, in conformità alla disciplina in materia di protezione dei dati personali;
CONSIDERATO che il Garante ha il compito di vietare (anche d’ufficio) il trattamento, in tutto o in parte, se esso risulta illecito o non corretto (artt. 144, 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice);
RITENUTO pertanto di dover disporre nei confronti del condominio di Viale delle Legioni Romane n. 65 (per il tramite dell’amministratore p.t.), il divieto dell’ulteriore comunicazione ai soggetti sopra menzionati dei dati, limitatamente alla finalità dichiarata dal condominio, riferiti ai segnalanti e concernenti le notizie relative alla targa dei medesimi e alla asserita condizione di inadempienza alla delibera assembleare;
RILEVATO che, in caso di inosservanza del medesimo, si renderà applicabile la sanzione di cui all’art. 170 del Codice;
RILEVATO peraltro, il non luogo a procedere in ordine all’ulteriore profilo contestato (concernente la comunicazione al legale di fiducia del condominio dei dati personali riferiti ai segnalanti), tenuto conto della necessità manifestata dal condominio stesso (le cui dichiarazioni possono rilevare in sede penale ai sensi del citato art. 168 del Codice) di doversi tutelare in sede giudiziaria (art. 24, comma 1, lett. f), del Codice);
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Giuseppe Fortunato;

TUTTO CIÒ PREMESSO, IL GARANTE

rilevata l’illiceità del trattamento come descritto in premessa:
a) ai sensi degli artt. 144, 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice, prescrive al condominio di Viale delle Legioni Romane n. 65 (per il tramite dell’amministratore p.t.) di comunicare individualmente ai partecipanti alla compagine condominiale gli avvisi che non siano di carattere generale e relativi a eventi di interesse comune;
b) ai sensi degli artt. 144, 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice vieta al condominio stesso, limitatamente alla finalità dichiarata, l’ulteriore comunicazione ai soggetti coinvolti a vario titolo nell’appalto -fatta eccezione per il legale di fiducia dello stesso condominio- dei dati personali relativi ai segnalanti e concernenti le notizie relative alla targa dei medesimi e alla asserita condizione di inadempienza alla delibera assembleare.

© RIPRODUZIONE RISERVATA

Provvedimento Garante per la protezione dei dati personali 2/4/2009

Redazione

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Filippo Patroni Griffi, segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali);

VISTE le "Linee guida per posta elettronica e internet" adottate dal Garante con deliberazione n. 13 del 1° marzo 2007, pubblicate sulla G. U. n. 58 del 10 marzo 2007;

VISTO il reclamo con cui XY ha lamentato un illecito trattamento di dati personali a sé riferiti da parte di Italian Gasket S.p.A. (società presso cui l’interessato ha prestato servizio fino alla data del suo licenziamento, avvenuto nel mese di novembre 2007), la quale avrebbe minuziosamente monitorato gli accessi a Internet effettuati dal reclamante per un ampio arco temporale in violazione della disciplina prevista dallo Statuto dei lavoratori per il controllo a distanza dell’attività lavorativa (art. 4, l. 20 maggio 1970, n. 300) e dei principi di protezione dei dati personali richiamati nelle menzionate Linee guida;

VISTO quanto precisato dal reclamante, secondo cui la menzionata attività di monitoraggio effettuata dalla società avrebbe determinato l’irrogazione di alcune contestazioni disciplinari nei confronti dell’interessato, tra l’altro, per l’indebito utilizzo dello strumento elettronico assegnatogli in dotazione per lo svolgimento dell’attività lavorativa (cfr. reclamo del 4 agosto 2007, in atti, pp. 1-2);

VISTA la documentazione prodotta dal reclamante, che reca stampa delle pagine web visitate dall’interessato in un arco temporale pari a circa quattro mesi (dal 10 aprile 2007 al 25 luglio 2007), pagine che sarebbero state analiticamente registrate mediante utilizzo di un apposito software (denominato Squid) in grado di effettuare la memorizzazione ("caching") delle pagine web visualizzate;

VISTE le richieste formulate nel reclamo, con particolare riferimento all’adozione dei provvedimenti ritenuti più opportuni, anche a tutela degli altri lavoratori operanti presso la società;

ESAMINATE le risultanze istruttorie;

PRESO ATTO di quanto dichiarato dalla società ai sensi e per gli effetti di cui all’art. 168 del Codice, secondo cui l’attività di monitoraggio sarebbe stata avviata solo a seguito di disservizi provocati dal reclamante nell’utilizzo della rete Internet, riconducibili ad un’"eccessiva attività di scarico dati effettuata dalla postazione" riferita al medesimo reclamante (cfr. verbale di operazioni compiute del 25 febbraio 2009, p. 3);

RILEVATO che tale attività di monitoraggio è stata effettuata mediante utilizzo "del sistema di web proxy server Squid, appositamente installato e configurato dal responsabile del Ced pro-tempore al fine di monitorare le attività svolte dal sig. XY" (cfr. verbale di operazioni compiute del 25 febbraio 2009, cit., p. 3);

RILEVATO che la predetta attività, che "ha coperto l’arco temporale di circa nove mesi, dal febbraio all’ottobre 2007", è avvenuta mediante configurazione delle funzionalità del software installato con modalità tali da registrare gli "accessi a tutti i siti web visitati dal […] [reclamante]", con evidenziazione anche dei relativi domìni. Rilevato altresì che i log di accesso ai siti sono risultati essere "elaborati quotidianamente da un software denominato SARG […] che generava la relativa reportistica in un formato di più semplice lettura e analisi" (cfr. verbale di operazioni compiute del 25 febbraio 2009, cit., p. 4), tale da consentire al titolare del trattamento di venire a conoscenza e memorizzare "in chiaro":

il sito visitato ("accessed site");
il numero di connessioni ("connect");
la dimensione complessiva delle pagine visualizzate in rapporto al numero di connessioni effettuate in un periodo predefinito, espressa sia in termini analitici ("bytes") che percentuali ("%bytes");
il rapporto (in percentuale) tra i dati richiesti dal client provenienti dalla cache e quelli provenienti direttamente dal server ("in-cache-out");
il tempo trascorso sulle pagine visitate, espresso sia in termini analitici ("elapsed time" e "milisec") che percentuali ("%time");
RILEVATO che al reclamante, al pari di tutti gli altri dipendenti dell’azienda abilitati all’uso della rete Internet, erano "state fornite specifiche istruzioni circa l’utilizzo della postazione informativa individuale" (cfr. all. n. 1 al verbale, recante il "Regolamento aziendale per la sicurezza e l’utilizzo delle postazioni di informatica individuale" del 15 gennaio 2007, ove al punto 6.3. si legge che "è assolutamente proibita la navigazione in Internet per motivi diversi da quelli strettamente legati all’attività lavorativa"), peraltro "sottoscritte per presa visione" dai medesimi dipendenti, compreso lo stesso reclamante (cfr. verbale di operazioni compiute del 25 febbraio 2009, p. 2; cfr. altresì all. n. 1 al verbale);

RILEVATO altresì che il reclamante era stato previamente informato circa i controlli che sarebbero stati effettuati sulla propria postazione individuale in ordine agli accessi effettuati alla rete (cfr. allegato n. 2 al verbale del 25 febbraio 2009; cfr. altresì all. n. 1 al verbale del 26 febbraio 2009);

PRESO ATTO di quanto dichiarato dalla società in ordine all’impossibilità di adottare misure di carattere inibitorio per l’accesso a siti non pertinenti l’attività lavorativa, soluzione che, ancorché valutata e sperimentata in passato dalla società, non è stata ritenuta praticabile (cfr. verbale di operazioni compiute del 25 febbraio 2009, cit., p. 2);

RILEVATO che, alla luce delle dichiarazioni rese dalla società (secondo cui "nessuna attività di monitoraggio è stata effettuata in passato nei confronti di dipendenti diversi dal [reclamante]": cfr. verbale di operazioni compiute del 26 febbraio 2009, cit., p. 2) e della documentazione prodotta (la quale ha evidenziato che l’attività di tracciamento e di registrazione degli accessi alla rete Internet nei confronti del reclamante è avvenuta "in deroga alla normale prassi aziendale": cfr. all. n. 1 al verbale del 25 febbraio), non risulta allo stato provato che detta attività di monitoraggio abbia in passato interessato anche altri dipendenti;

RILEVATO che il menzionato software Squid risulta essere ancora installato e attivo con funzionalità diverse, tali da consentire "la gestione del proiettore, nonché l’aggiornamento automatico del sistema antivirus presente nelle singole postazioni client" (cfr. verbale di operazioni compiute del 25 febbraio 2009, cit., p. 3). Rilevato altresì che lo stesso software, alla luce delle dichiarazioni rese dalla società e a seguito dei tentativi di accesso effettuati in loco su un computer di un dipendente (che non hanno evidenziato la presenza di un proxy impostato nel browser Internet explorer: cfr. verbale di operazioni compiute del 25 febbraio 2009, cit., p. 4), non risulta allo stato "configurato in modalità di registrazione dei log di navigazione web", ma che potrebbe comunque "essere utilizzato in futuro per le medesime attività di monitoraggio" sopra richiamate (cfr. verbale di operazioni compiute del 25 febbraio 2009, cit., p. 5), ancorché non sia intenzione della società utilizzarlo in tal senso (cfr. verbale di operazioni compiute del 25 febbraio 2009, cit., p. 2);

RITENUTO che l’installazione di un software con funzionalità appositamente configurate per il tracciamento (sistematico e continuativo) degli accessi ad Internet da parte dell’interessato –con la conseguente memorizzazione di tutte le pagine web visualizzate dal reclamante– risulta essere avvenuta in violazione dell’art. 4, comma 1 della legge 20 maggio 1970, n. 300, che vieta l’impiego di apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori; rilevato, inoltre, che la società non ha neanche provveduto a svolgere gli adempimenti previsti dal secondo comma della medesima disposizione, in relazione alle funzionalità che mediante il software installato legittimamente possono essere perseguite per "esigenze organizzative e produttive" (cfr. verbale di operazioni compiute del 26 febbraio 2009, cit., p. 2);

RITENUTO, pertanto, che il trattamento di dati personali riferiti al reclamante, limitatamente agli accessi effettuati alla rete Internet, non risulta essere stato effettuato lecitamente dalla società (artt. 11, comma 1, lett. a) e 114 del Codice; cfr., altresì, il punto 4 delle menzionate Linee guida);

RITENUTO inoltre che detto trattamento non risulta essere stato lecitamente svolto neanche sotto il profilo della pertinenza e non eccedenza delle informazioni raccolte (art. 11, comma 1, lett. d), del Codice), tenuto conto che il monitoraggio effettuato dalla società (peraltro diretto ed esclusivo nei confronti del reclamante) risulta essere stato prolungato e costante (cfr. le citate Linee guida, punto 6);

CONSIDERATO che il Garante può disporre il divieto del trattamento ai sensi degli artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice in caso di trattamento di dati illecito o non corretto;

RITENUTO pertanto di dover disporre, nei confronti di Italian Gasket S.p.A., il divieto dell’ulteriore trattamento dei dati personali riferiti al reclamante, limitatamente al monitoraggio degli accessi a Internet;

RITENUTO di dover disporre la trasmissione degli atti e di copia del presente provvedimento all’autorità giudiziaria per le valutazioni di competenza in ordine agli illeciti penali che riterrà eventualmente configurabili;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Mauro Paissan;

TUTTO CIÒ PREMESSO IL GARANTE

1. ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, vieta a Italian Gasket S.p.A. l’ulteriore trattamento dei dati personali riferiti al reclamante, limitatamente al monitoraggio degli accessi a Internet (artt. 11, comma 1, lett. a) e d) e 114 del Codice e art. 4, primo comma, l. 20 maggio 1970, n. 300);

2. dispone la trasmissione degli atti e di copia del presente provvedimento all’autorità giudiziaria per le valutazioni di competenza in ordine agli illeciti penali che riterrà eventualmente configurabili.

© RIPRODUZIONE RISERVATA

Provvedimento Garante per la protezione dei dati personali 27/11/2008

Redazione

Il Garante:

a) ai sensi dell’art. 34, comma 1-bis, del codice individua nell’unito prospetto che costituisce parte integrante del presente provvedimento le modalita’ semplificate per applicare le misure minime di sicurezza per il trattamento dei dati personali;
b) dispone che copia del presente provvedimento sia trasmessa al Ministero della giustizia – Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.

MISURE SEMPLIFICATE PER APPLICARE LE MISURE MINIMEDI SICUREZZA NEL TRATTAMENTO DEI DATI PERSONALI

1. Soggetti che possono avvalersi della semplificazione.

Le seguenti modalita’ semplificate sono applicabili dai soggetti pubblici o privati che:
a) utilizzano dati personali non sensibili o che trattano come unici dati sensibili – riferiti ai propri dipendenti e collaboratori anche a progetto – quelli costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero dall’adesione a organizzazioni sindacali o a carattere sindacale;
b) trattano dati personali unicamente per correnti finalita’ amministrative e contabili, in particolare presso liberi
professionisti, artigiani e piccole e medie imprese (cfr. art. 2083 cod. civ. e d.m. 18 aprile 2005, recante adeguamento alla disciplina comunitaria dei criteri di individuazione di piccole e medie imprese, pubblicato nella Gazzetta Ufficiale 12 ottobre 2005, n. 238).

2. Trattamenti effettuati con strumenti elettronici

I soggetti di cui al paragrafo 1 possono applicare le misure minime di sicurezza prescritte dalla disciplina in materia di trattamenti realizzati con l’ausilio di strumenti elettronici (art. 34 del Codice e regole da 1 a 26 dell’allegato B) osservando le modalita’ semplificate di seguito individuate.

2.1. Istruzioni agli incaricati del trattamento (modalita’ applicative delle regole di cui ai punti 4, 9, 18 e 21 dell’allegato B))
Le istruzioni in materia di misure minime di sicurezza previste dall’allegato B) possono essere impartite agli incaricati del trattamento anche oralmente, con indicazioni di semplice e chiara formulazione.
2.2. Sistema di autenticazione informatica (modalita’ applicative delle regole di cui ai punti 1, 2, 3, 5, 6, 7, 8, 10 e 11 dell’allegatoB))
Per l’accesso ai sistemi informatici si puo’ utilizzare un qualsiasi sistema di autenticazione basato su un codice per
identificare chi accede ai dati (di seguito, «username»), associato a una parola chiave (di seguito: «password»), in modo che:
a) l’username individui in modo univoco una sola persona, evitando che soggetti diversi utilizzino codici identici;
b) la password sia conosciuta solo dalla persona che accede ai dati.
L’username deve essere disattivato quando l’incaricato non ha piu’ la qualita’ che rende legittimo l’utilizzo dei dati (ad esempio, in quanto non opera piu’ all’interno dell’organizzazione).
Puo’ essere adottata, quale procedura di autenticazione anche la procedura di login disponibile sul sistema operativo delle postazioni di lavoro connesse a una rete.
In caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile e indifferibile intervenire per esclusive necessita’ di operativita’ e di sicurezza del sistema, se l’accesso ai dati e agli strumenti elettronici e’ consentito esclusivamente mediante uso della password, il titolare puo’ assicurare la disponibilita’ di dati o strumenti elettronici con procedure o modalita’ predefinite. Riguardo a tali modalita’, sono fornite preventive istruzioni agli incaricati e gli stessi sono informati degli interventi effettuati (ad esempio, prescrivendo ai lavoratori
che si assentino dall’ufficio per ferie l’attivazione di modalita’ che consentano di inviare automaticamente messaggi di posta elettronica ad un altro recapito accessibile: si vedano le Linee guida in materia di lavoro per posta elettronica e Internet approvate dal Garante e pubblicate nella Gazzetta Ufficiale 10 marzo 2007, n. 58 [doc. web n. 1387522]).
2.3. Sistema di autorizzazione (modalita’ applicative delle regole di cui ai punti 12, 13 e 14 dell’Allegato B))
Qualora sia necessario diversificare l’ambito del trattamento consentito, possono essere assegnati agli incaricati – singolarmente o per categorie omogenee – corrispondenti profili di autorizzazione, tramite un sistema di autorizzazione o funzioni di autorizzazione incorporate nelle applicazioni software o nei sistemi operativi, cosi’ da limitare l’accesso ai soli dati necessari per effettuare leoperazioni di trattamento.
2.4. Altre misure di sicurezza (modalita’ applicative delle regole di cui ai punti 15, 16, 17 e 18 dell’allegato B))
I soggetti di cui al paragrafo 1 assicurano che l’ambito di trattamento assegnato ai singoli incaricati, nonche’ agli addetti alla gestione o alla manutenzione degli strumenti elettronici, sia coerente con i principi di adeguatezza, proporzionalita’ e necessita’, anche attraverso verifiche periodiche, provvedendo, quando e’ necessario, ad aggiornare i profili di autorizzazione eventualmente accordati.
Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilita’ di strumenti elettronici (ad esempio, antivirus), anche con riferimento ai programmi di cui all’art. 615-quinquies del codice penale, nonche’ a correggerne difetti, sono effettuati almeno annualmente. Se il computer non e’ connesso a reti di comunicazione elettronica accessibili al pubblico (linee Adsl, accesso a Internet tramite rete aziendale, posta elettronica), l’aggiornamento deve essere almeno biennale. I dati possono essere salvaguardati anche attraverso il loro
salvataggio con frequenza almeno mensile. Il salvataggio periodico puo’ non riguardare i dati non modificati dal momento dell’ultimo salvataggio effettuato (dati statici), purche’ ne esista una copia di sicurezza da cui effettuare eventualmente il ripristino.
2.5. Documento programmatico sulla sicurezza (modalita’ applicative delle regole di cui ai punti da 19.1 a 19.8
dell’allegatoB))
2.5.1. Fermo restando che per alcuni casi e’ gia’ previsto per disposizione di legge che si possa redigere un’autocertificazione in luogo del documento programmatico sulla sicurezza (vedi il precedente par. 1, lett. a); art. 29 d.l. n. 112/2008 cit.), i soggetti pubblici e privati che trattano dati personali unicamente per correnti finalita’ amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese, possono redigere un documento programmatico sulla sicurezza semplificato sulla base delle indicazioni di seguito riportate.
Il documento deve essere redatto prima dell’inizio del trattamento e deve essere aggiornato entro il 31marzo di ogni anno nel caso in cui, nel corso dell’anno solare precedente, siano intervenute modifiche rispetto a quanto dichiarato nel precedente documento.
Il documento deve avere i seguenti contenuti:
a) le coordinate identificative del titolare del trattamento, nonche’, se designati, gli eventuali responsabili. Nel caso in cui l’organizzazione preveda una frequente modifica dei responsabili designati, potranno essere indicate le modalita’ attraverso le quali e’ possibile individuare l’elenco aggiornato dei responsabili del trattamento;
b) una descrizione generale del trattamento o dei trattamenti realizzati, che permetta di valutare l’adeguatezza delle misure adottate per garantire la sicurezza del trattamento. In tale descrizione vanno precisate le finalita’ del trattamento, le categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime, nonche’ i destinatari o le categorie di destinatari a cui i dati possono essere comunicati;
c) l’elenco, anche per categorie, degli incaricati del trattamento e delle relative responsabilita’. Nel caso in cui
l’organizzazione preveda una frequente modifica dei responsabili designati, potranno essere indicate le modalita’ attraverso le quali e’ possibile individuare l’elenco aggiornato dei responsabili del trattamento con le relative responsabilita’;
d) una descrizione delle altre misure di sicurezza adottate per prevenire i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalita’ della raccolta.

3. Modalita’ applicative per i trattamenti realizzati senza l’ausilio di strumenti elettronici (modalita’ applicative delle regole di cui ai punti 27, 28 e 29 dell’allegato B))

I soggetti di cui al paragrafo 1 possono adempiere all’obbligo di adottare le misure minime di sicurezza di cui all’art. 35 del codice applicando le misure contenute nell’allegato B) relativamente ai trattamenti realizzati senza l’ausilio di strumenti elettronici (regole da 27 a 29 dello stesso allegato B)), con le modalita’ semplificate di seguito individuate.
3.1. Agli incaricati sono impartite, anche oralmente, istruzioni finalizzate al controllo e alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali.
3.2. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dai medesimi incaricati fino alla restituzione in modo che a essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.

© RIPRODUZIONE RISERVATA

Provvedimento Garante per la protezione dei dati personali 19/6/2008

Redazione

Premesso:

1. Esigenze alla base di nuove misure di semplificazione

Presso vari operatori si avverte l’esigenza di alcune semplificazioni nell’applicazione della disciplina sulla protezione dei dati personali.
La riflessione in ambito pubblico e privato e’ avvertita in modo particolare presso piccole e medie imprese, liberi professionisti e artigiani, per quanto riguarda la gestione di informazioni attinenti ad altre imprese, amministrazioni, clienti, fornitori e dipendenti utilizzate, anche in relazione a obblighi contrattuali e normativi, per correnti finalita’ amministrative e contabili.
Sulla base dell’esperienza acquisita in materia vengono prospettate alcune criticita’ rispetto a determinate modalita’ per adempiere a obblighi di legge o derivanti da un contratto, avvertite come troppo onerose in rapporto alle garanzie per gli interessati.
Il Garante ha completato un’analisi approfondita della problematica. In aggiunta alle misure di semplificazione disposte con decisioni per casi specifici, l’Autorita’ ha intrapreso varie iniziative, anche sulla base di un dialogo con le categorie interessate, che ha gia’ comportato l’approvazione di un provvedimento di carattere generale («Guida pratica e misure di semplificazione per le piccole e medie imprese», Provv. 24 maggio 2007, n. 21, in Gazzetta Ufficiale 21 giugno 2007, n. 142 e doc. web n. 1412271).
Dall’istruttoria sono emerse tre valutazioni di fondo:
a) alcune modalita’ applicative, seguite soprattutto presso piccole imprese, liberi professionisti e artigiani, sono ancora basate su approcci prettamente burocratici e di ordine puramente formale. Istituti posti a garanzia degli interessati vengono banalizzati in contrasto con lo spirito del Codice che intende assicurare una protezione elevata dei diritti e delle liberta’ fondamentali «nel rispetto dei principi di semplificazione, armonizzazione ed efficacia» (art. 2, comma 2). Da tali prassi conseguono adempimenti superflui o ripetuti inutilmente, talvolta anche per effetto di erronee valutazioni fornite in sede di consulenza, con oneri organizzativi da cui non deriva un reale valore aggiunto ai fini della correttezza e della trasparenza del trattamento e che gli interessati avvertono con disinteresse o fastidio;
b) e’ possibile apportare ulteriori semplificazioni (in particolare per agevolare la corrente attivita’ gestionale di organismi pubblici e privati di ridotte dimensioni), in aggiunta a quelle gia’ introdotte per legge o da questa Autorita’ e in armonia con la disciplina complessiva, anche comunitaria, della materia, salvaguardando i diritti e le liberta’ fondamentali dei cittadini;
c) la protezione dei dati personali puo’ rappresentare una risorsa, anche per piccole e medie imprese, rendere piu’ efficiente l’attivita’ gestionale e incrementare la fiducia degli interessati.
L’Autorita’ intende fornire un suo nuovo contributo in materia esercitando le attribuzioni che le sono conferite per legge.
Con il presente provvedimento sono pertanto individuate soluzioni concrete volte ad agevolare ulteriormente l’ordinaria attivita’ di gestione amministrativa e contabile, in modo particolare rispetto ai casi in cui non sono trattati dati di carattere sensibile o giudiziario. Di seguito, vengono quindi enunciate nuove linee guida-interpretative della normativa vigente e sono individuate alcune modalita’ innovative per semplificare taluni adempimenti, in modo particolare per l’informativa agli interessati e il consenso.

2. L’informativa agli interessati

Diverse realta’, specie imprenditoriali di piccole e medie dimensioni, trattano dati, anche in relazione a obblighi contrattuali, precontrattuali o di legge, esclusivamente per finalita’ di ordine amministrativo e contabile (gestione di ordinativi, buste paga e di ordinaria corrispondenza con clienti, fornitori, realta’ esterne di supporto anche in outsourcing, dipendenti); spesso, cio’ accade in relazione a informazioni che non hanno carattere sensibile o giudiziario.
Alcune tra le criticita’ menzionate riguardano le modalita’ con cui l’informativa e’ fornita per iscritto, anziche’ oralmente (art. 13).
Sono stati formati spesso moduli lunghi e burocratici, privi di comunicativita’ e basati sull’eccessivo uso di espressioni prettamente giuridiche, inidonee a far comprendere le caratteristiche principali del trattamento. Alla mancanza di chiarezza si e’ sommata l’inutile ripetizione dell’informativa in occasione di ciascun contatto con gli interessati, frazionando le spiegazioni che andrebbero invece fornite in modo organico e possibilmente unitario.
Il Garante intende prescrivere a tutti i titolari in ambito privato e pubblico alcune misure opportune e formulare indicazioni per semplificare l’informativa nei termini di cui al seguente dispositivo (articoli 2, comma 2, 13, commi 3 e 5 e 154, comma 1, lettera c)).

3. Il consenso

Il Garante, con riferimento al consenso (art. 23), considerati i principi di efficacia e proporzionalita’ e in relazione agli articoli 2, 18, 24 comma 1 e 154, comma 1, lettera c), del Codice, intende anche prescrivere a tutti i titolari del trattamento pubblici e privati alcune misure opportune affinche’ non richiedano il consenso nei vari casi in cui esso non deve essere richiesto (dai soggetti pubblici) o e’ superfluo (per i soggetti privati). Cio’, in particolare, quando:
a) il trattamento dei dati in ambito privato e’ svolto per adempiere a obblighi contrattuali o normativi o, comunque, per ordinarie finalita’ amministrative e contabili;
b) i dati trattati provengono da pubblici registri ed elenchi pubblici conoscibili da chiunque o sono relativi allo svolgimento di attivita’ economiche dell’interessato (vedasi, per i presupposti relativi a ciascuno dei predetti casi, l’art. 24, comma 1; vedasi anche l’art. 18, comma 4).
Il Garante, in applicazione dell’istituto del bilanciamento degli interessi (art. 24, comma 1, lettera g)) intende anche individuare un’ulteriore ipotesi nella quale il consenso non va richiesto.
Il titolare del trattamento che abbia gia’ venduto un prodotto o prestato un servizio a un interessato, nel quadro dello svolgimento di ordinarie finalita’ amministrative e contabili, potra’ utilizzare nei termini di cui al seguente dispositivo i recapiti (oltre che di posta elettronica, come gia’ previsto per legge: art. 130, comma 4) di posta cartacea forniti dall’interessato medesimo, per inviare ulteriore suo materiale pubblicitario o promuovere una sua vendita diretta o per compiere sue ricerche di mercato o di comunicazione commerciale.
Tale bilanciamento degli interessi considera le difficolta’ rappresentate da alcuni operatori economici nel conservare un proprio diretto «canale comunicativo» con i soggetti con i quali abbiano gia’ instaurato un rapporto contrattuale; tiene al tempo stesso conto del diritto dell’interessato a non essere disturbato mediante comunicazioni promozionali, in base a garanzie analoghe a quelle previste, per la situazione appena indicata, per l’uso della posta elettronica (art. 130, comma 4; vedasi anche, con riguardo alle comunicazioni postali, l’art. 58, comma 2, decreto legislativo n. 206/2005).
Non e’ necessario rivolgere un’istanza al Garante per avvalersi delle opportunita’ previste dal presente punto 3.
Viene infine dato atto nel seguente dispositivo di alcune altre risultanze dell’istruttoria relative alla designazione degli incaricati del trattamento e alla notificazione dei trattamenti.

Tutto cio’ premesso il Garante

1. Ai sensi degli articoli 2, comma 2, 13, commi 3 e 5 e 154, comma 1, lettera c), del Codice formula a tutti i titolari del trattamento in ambito privato e pubblico, in particolare a piccole e medie imprese, liberi professionisti, artigiani, le seguenti indicazioni per semplificare l’informativa rispetto allo svolgimento di correnti finalita’ amministrative e contabili, anche in relazione all’adempimento di obblighi contrattuali, precontrattuali o normativi. Detti soggetti possono:
a) fornire un’unica informativa per il complesso dei trattamenti, anziche’ per singoli aspetti del rapporto con gli interessati;
b) fornire a questi ultimi una ricostruzione organica dei trattamenti e con linguaggio semplice, senza frammentarla o reiterarla inutilmente;
c) indicare le informazioni essenziali in un quadro adeguato di lealta’ e correttezza;
d) redigere, per quanto possibile, una prima informativa breve.
All’interessato, anche oralmente, andrebbero indicate sinteticamente alcune prime notizie chiarendo subito, con immediatezza, le principali caratteristiche del trattamento. In linea di massima l’informativa breve, quando e’ scritta, puo’ avere la seguente formulazione:«I SUOI DATI PERSONALI.§
Utilizziamo – anche tramite collaboratori esterni – i dati che la riguardano esclusivamente per nostre finalita’ amministrative e contabili, anche quando li comunichiamo a terzi. Informazioni dettagliate, anche in ordine al suo diritto di accesso e agli altri suoi diritti, sono riportate su……»;
e) per l’informativa, specie per quella breve, si possono utilizzare gli spazi utili nel materiale cartaceo e nella corrispondenza che si impiegano gia’, ordinariamente, per finalita’ amministrative e contabili;
f) l’informativa breve puo’ rinviare a un testo piu’ articolato, disponibile agevolmente senza oneri per gli interessati, in luoghi e con modalita’ facilmente accessibili anche con strumenti informatici e telematici (in particolare, tramite reti Intranet o siti Internet, affissioni in bacheche o locali, avvisi e cartelli agli sportelli per la clientela, messaggi preregistrati disponibili digitando un numero telefonico gratuito). Anche questa piu’ ampia informativa deve essere improntata a correttezza, tenendo conto di possibili modifiche del trattamento, ed essere basata su espressioni sintetiche, chiare e comprensibili. Le notizie da indicare per legge (art. 13, comma 1) devono essere aggiornate, specificando la data dell’ultimo aggiornamento;
g) e’ possibile non inserire nell’informativa piu’ articolata gli elementi noti all’interessato (art. 13, commi 2 e 4). E’ opportuno omettere riferimenti meramente burocratici o circostanze ovvie, per esempio quando alcune informazioni, compresi gli estremi identificativi del titolare, risultano da altre parti del documento in cui e’ presente l’informativa. Vanno utilizzate espressioni efficaci, anche se sintetiche, anche per quanto riguarda i diritti degli interessati e l’organismo o soggetto al quale rivolgersi per esercitarli. Se e’ prevista la raccolta di dati presso terzi e’ possibile formulare una sola informativa per i dati forniti direttamente dall’interessato e per quelli che saranno acquisiti presso terzi. Per questi ultimi dati, l’informativa puo’ non essere fornita quando vi e’ un obbligo normativo di trattarli (art. 13, comma 5);
h) e’ opportuno che l’informativa piu’ articolata sia basata su uno schema tendenzialmente uniforme per il settore di attivita’ del titolare del trattamento;
i) e’ invece necessario fornire un’informativa specifica o ad hoc quando il trattamento ha caratteristiche del tutto particolari perche’ coinvolge, ad esempio, peculiari informazioni (es. dati genetici) o prevede forme inusuali di utilizzazione di dati, specie sensibili, rispetto alle ordinarie esigenze amministrative e contabili, o puo’ comportare rischi specifici per gli interessati (ad esempio, rispetto a determinate forme di uso di dati biometrici o di controllo delle attivita’ dei lavoratori). Se il titolare del trattamento e’ un soggetto pubblico devono essere inserite le indicazioni che la legge prevede per i dati sensibili e giudiziari.
2. Invita le associazioni di categoria a predisporre informative-tipo per determinati settori o categorie di trattamento, anche in collaborazione con questa Autorita’. Il Garante si riserva in questo quadro di porre a disposizione gratuita (chiedendo anche la collaborazione delle camere di commercio), un kit contenente concrete istruzioni e fac-simile per semplificare tutti gli adempimenti in materia.
3. Richiama l’attenzione dei titolari del trattamento sulla circostanza che la designazione degli incaricati del trattamento puo’ avvenire in modo semplificato evitando singoli atti circostanziati relativi distintamente a ciascun incaricato, individuando i trattamenti di dati e le relative modalita’ che sono consentiti all’unita’ cui sono addetti gli incaricati stessi (art. 30).
4. Richiama l’attenzione dei titolari del trattamento sulla circostanza che, per effetto delle previsioni del Codice e delle determinazioni gia’ adottate da questa Autorita’, la notificazione telematica al Garante non e’ necessaria per perseguire finalita’ amministrative e contabili, salvo che per eventuali casi eccezionali indicati per legge (art. 37).
5. Ai sensi degli articoli 2, comma 2, 24 e 154, comma 1, lettera c), del Codice invita tutti i titolari del trattamento pubblici e privati a non chiedere il consenso degli interessati quando il trattamento dei dati e’ svolto, anche in relazione all’adempimento di obblighi contrattuali, precontrattuali o normativi, esclusivamente per correnti finalita’ amministrative e contabili, nonche’ quando i dati provengono da pubblici registri ed elenchi pubblici conoscibili da chiunque, o sono relativi allo svolgimento di attivita’ economiche o sono trattati da un soggetto pubblico.
6. In applicazione del principio del bilanciamento degli interessi (art. 24, comma 1, lettera g)), dispone che i titolari del trattamento in ambito privato che hanno venduto un prodotto o prestato un servizio, nel quadro del perseguimento di ordinarie finalita’ amministrative e contabili, possono utilizzare senza il consenso i recapiti (oltre che di posta elettronica come gia’ previsto per legge) di posta cartacea forniti dall’interessato, ai fini dell’invio diretto di proprio materiale pubblicitario o di propria vendita diretta o per il compimento di proprie ricerche di mercato o di comunicazione commerciale. Cio’, rispettando anche le garanzie previste per le attivita’ di profilazione degli interessati (Provv. 24 febbraio 2005, doc. web n. 1103045), a condizione che:
a) tale attivita’ promozionale riguardi beni e servizi del medesimo titolare e analoghi a quelli oggetto della vendita;
b) l’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione effettuata per le menzionate finalita’, sia informato della possibilita’ di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente, anche mediante l’utilizzo della posta elettronica o del fax o del telefono e di ottenere un immediato riscontro che confermi l’interruzione di tale trattamento (art. 7, comma 4);
c) l’interessato medesimo, cosi’ adeguatamente informato gia’ prima dell’instaurazione del rapporto, non si opponga a tale uso, inizialmente o in occasione di successive comunicazioni.
7. Dispone che copia del presente provvedimento sia trasmessa al Ministero della giustizia – Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana, nonche’ alle associazioni di categoria, ai ministeri interessati e alle camere di commercio.

© RIPRODUZIONE RISERVATA

Delibera Consiglio Nazionale Forense 12/6/2008 n. 15

Redazione

(TRIENNIO 2007-2010)
L’anno duemilaotto, il giorno 12 del mese di giugno, alle ore 10, in Roma, presso la sede amministrativa di via del Governo Vecchio, n. 3, il Consiglio Nazionale Forense si è riunito in seduta amministrativa straordinaria, previa convocazione spedita a mezzo e-mail a tutti i Consiglieri in data 6 giugno 2008, con l’intervento dei Signori:
Avv. Guido ALPA
Presidente
Avv. Pierluigi TIRALE
Segretario
Avv. Carlo ALLORIO
Componente
Avv. Antonio BAFFA
Componente
Avv. Giuseppe BASSU
Componente
Avv. Nicola BIANCHI
Componente
Avv. Alessandro BONZO
Componente
Avv. Stefano BORSACCHI
Componente
Avv. Aldo BULGARELLI
Componente
Avv. Luigi CARDONE
Componente
Avv. Lucio DEL PAGGIO
Componente
Avv. Giovanni D’INNELLA
Componente
Avv. Fabio FLORIO
Componente
Avv. Bruno GRIMALDI
Componente
Avv. Corrado LANZARA
Componente
Avv. Andrea MASCHERIN
Componente
Avv. Ubaldo PERFETTI
Componente
Avv. Silverio SICA
Componente
Avv. Giovanni VACCARO
Componente
Avv. Carlo VERMIGLIO
Componente
Sono assenti gli altri Componenti.
Assume la Presidenza il Presidente, avv. prof. Guido Alpa.
Il Presidente, accertato che i Consiglieri presenti sono in numero superiore a quello stabilito dall’art. 22 del D.D.L. 23 novembre 1944, n. 382, dichiara valida l’adunanza.

L’ORDINE DEL GIORNO della seduta odierna comprende la trattazione dei seguenti argomenti:

OMISSIS

Il Presidente Alpa richiama l’attenzione del Consiglio sulla necessità di fornire quanto prima le risposte ai rilievi sul Codice deontologico forense formulati dalla Autorità per la Concorrenza e il Mercato nel corso della audizione del 18 aprile scorso e alla quale hanno partecipato, oltre a questi, il Cons. Segretario Tirale, il Vice Pres. Perfetti e il Cons. Stefenelli, nell’ambito dell’indagine conoscitiva sugli Ordini professionali avviata dalla medesima Autorità nel gennaio 2007.
Il Consiglio, sentita la relazione del Presidente, premesso che, nel corso dell’audizione avvenuta il 18 aprile 2008, l’Autorità Garante della Concorrenza e del Mercato ha formulato i rilievi di seguito indicati al vigente codice deontologico forense:
a) con riferimento all’art. 45, ha ribadito l’auspicio che la norma sia integrata con la formulazione "fermo restando il principio di libera determinazione del compenso";
b) con riferimento alla disciplina dell’informazione sull’attività professionale, ha rilevato che il divieto di pubblicità comparativa e quello di pubblicità elogiativa prevista dall’art. 17, comma 4, del ed. forense non sono giustificabili e, quanto al requisito della pubblicità elogiativa, ha affermato che sarebbe auspicabile la modificazione della norma, con riferimento al requisito dell’autoreferenzialità;
c) il riferimento ai limiti del rispetto e del decoro della professione, previsti dallo stesso art. 17 c.d.f., non sono giustificabili sotto il profilo concorrenziale, perché potrebbero disincentivare significativamente l’utilizzo della leva della pubblicità;
d) con riferimento all’art. 17 bis del codice deontologico forense ha auspicato la modificazione della norma, con eliminazione della elencazione di ciò che la pubblicità deve e può indicare o, in subordine, con la precisazione che tra i contenuti ammessi compaiano chiaramente i prezzi delle prestazioni offerte e sia eliminato il divieto di dare conto del nome dei clienti, ancorché questi abbiano prestato il proprio consenso;
e) con riferimento all’art. 18, comma 3, ha formulato l’auspicio che l’obbligo di richiedere il parere favorevole sia sostituito con l’obbligo di previa comunicazione;
f) in relazione ai divieti contenuti nell’art. 19, punti III e IV nella parte in cui essi fanno riferimento alla correttezza e al decoro, o ai divieti di offerta di prestazioni al domicilio degli utenti, o in luoghi pubblici o aperti al pubblico, o a persone determinate per uno specifico affare, ha auspicato la modificazione della norma con precetti normativi specifici che individuino situazioni di svantaggio o di debolezza fisica o psichica dei potenziali clienti;
g) ha sollecitato la modificazione della norma prevista dall’art. 24, comma 4, con la precisazione che la prescrizione dell’obbligo di comunicazione senza ritardo della costituzione di associazioni o società "professionali o di studi principali o secondari o di recapiti’, sia riferita alla tenuta degli albi.
Il Consiglio preso atto dei rilievi formulati dall’Autorità e del parere espresso dalla Commissione interna per la revisione del codice deontologico nella riunione del 30 maggio scorso
delibera

1. di accogliere il rilievo formulato dall’Autorità Garante della Concorrenza e del Mercato, riportato alla lettera a) delle premesse con riferimento alla formulazione dell’art. 45 c.d.f. e di integrare il testo di tale norma con la locuzione "fermo il principio disposto dall’art. 2233 del codice civile";
2. di accogliere il rilievo formulato dall’Autorità, riportato nelle premesse della presente delibera alla lettera e), nella parte in cui prevede il parere preventivo del Consiglio dell’Ordine, sostituendo a tale formulazione la seguente: "previa comunicazione tempestiva";
3. di accogliere, inoltre, l’invito a integrare l’art. 17 bis. c.d.f., comma 2, modificandone il testo, sostituendo alla formulazione"prewa comunicazione" quella "previa tempestiva comunicazione";
4. di chiedere alla Commissione per la revisione del codice deontologico forense di -sottoporre a riesame la formulazione dell’art. 17 bis intitolato "Modalità dell’informazione" per valutare l’eventuale opportunità di una sua semplificazione;
5. di accogliere il rilievo formulato dall’Autorità con riferimento all’art. 24 del c.d.f., con la precisazione che la comunicazione prevista da tale norma al canone IV sia preceduta dalla dizione "ai fini della tenuta dell’albo";
6. di non accogliere i rilievi riportati alle lettere b), c), e) ed f) delle premesse per le seguenti ragioni:
6.1. Il richiamo ai doveri di dignità e decoro della professione è esplicitamente contenuto nell’art. 12 del R.d.l. 27 novembre 1933 n. 1578, e costituisce il parametro normativo generale, alla stregua del quale deve essere valutata la condotta degli esercenti la professione forense.
Il carattere di norma di legge del codice deontologico deriva dalla delega effettuata dall’ordinamento professionale al Consiglio Nazionale Forense, il cui potere trova origine e limite nel parametro normativo previsto dalla norma generale, che rimanda all’autonomia collettiva la funzione di integrare la norma legislativa in bianco dettata dal legislatore. In questo senso si è recentemente espressa la Corte Suprema attribuendo alle norme del codice disciplinare forense la natura di "fonti normative integrative di precetto legislativo" (Cass. Civ. Sez. U. 20.12.2007 n. 26810).
Da ciò deriva la necessità che la norma deontologica sia formulata in relazione al parametro normativo che la legittima.
6.2 II divieto di pubblicità comparativa e quello di pubblicità elogiativa sono funzionali all’interesse generale che l’informazione data dall’avvocato risponda a principi di correttezza e di verità.
Le norme deontologiche che lo prevedono sono coerenti con le analoghe disposizioni contenute nei codici deontologici di Paesi comunitari a noi vicini, quali la Francia e la Spagna e sono compatibili con l’art. 81 CE, in combinato disposto con l’art. 10 CE. Esse integrano una restrizione giustificata, in funzione dell’interesse generale alla corretta amministrazione della giustizia e della dignità della professione, dal momento che tale limitazione è volta ad evitare che gli iscritti all’albo professionale possano compiere azioni di promozione o propaganda capaci di compromettere la fiducia dei soggetti che a loro si rivolgono e di pregiudicare la dignità della professione. L’informazione, infatti, è ammessa nei limiti in cui è data per favorire la conoscenza pubblica di notizie utili a far conoscere l’esistenza e l’identità del professionista ed il luogo ove svolge l’attività, oltre che il tipo di prestazioni che egli è in grado di garantire; l’informazione non può eccedere tale funzione perché, se ciò si ammettesse, l’informazione sarebbe almeno in parte motivata dall’interesse economico del professionista a promuovere le proprie prestazioni, anche a prescindere dalla loro necessità o dalla utilità che esse possono avere per il cliente.
Si tratta, del resto di un limite coerente con la sentenza della Corte di Giustizia pronunziata nella causa C-446/05 e con le conclusioni in quel procedimento assunte dall’avvocato Generale.
6.3. Le stesse ragioni militano per la conservazione del disposto dell’art. 19, canoni III e IV, con l’ulteriore precisazione che le norme ivi indicate hanno come obbiettivo la tutela della professione dall’esercizio di forme di acquisizione della clientela illegittime e comunque scorrette.

Il Consiglio, pertanto
DELIBERA

A) che il nuovo testo dell’articolo 17 bis c.d.f. è il seguente:

ART. 17 bis – Modalità dell’informazione.
L’avvocato che intende dare informazione sulla propria attività professionale deve indicare:
· la denominazione dello studio, con la indicazione dei nominativi dei professionisti che lo compongono qualora l’esercizio della professione sia svolto in forma associata o societaria;
· il Consiglio dell’Ordine presso il quale è iscritto ciascuno dei componenti lo studio;
· la sede principale di esercizio, le eventuali sedi secondarie ed i recapiti, con l’indicazione di indirizzo, numeri telefonici, fax, e-mail e del sito web, se attivato;
· il titolo professionale che consente all’avvocato straniero l’esercizio in Italia, o che consenta all’avvocato italiano l’esercizio all’estero, della professione di avvocato in conformità delle direttive comunitarie.
Può indicare:
· i titoli accademici;
· i diplomi di specializzazione conseguiti presso gli istituti universitari;
· l’abilitazione a esercitare avanti alle giurisdizioni superiori;
· i settori di esercizio dell’attività professionale e, nell’ambito di questi, eventuali materie di attività prevalente;
· le lingue conosciute;
· il logo dello studio;
· gli estremi della polizza assicurativa per la responsabilità professionale;
· l’eventuale certificazione di qualità dello studio; l’avvocato che intenda fare menzione di una certificazione di qualità deve depositare presso il Consiglio dell’Ordine il giustificativo della certificazione in corso di validità e l’indicazione completa del certificatore e del campo di applicazione della certificazione ufficialmente riconosciuta dallo Stato;
· i settori di esercizio dell’attività professionale e, nell’ambito di questi, eventuali materie di attività prevalente;
· le lingue conosciute;
· il logo dello studio;
· gli estremi della polizza assicurativa per la responsabilità professionale;
· l’eventuale certificazione di qualità dello studio; l’avvocato che intenda fare menzione di una certificazione di qualità deve depositare presso il Consiglio dell’Ordine il giustificativo della certificazione in corso di validità e l’indicazione completa del certificatore e del campo di applicazione della certificazione ufficialmente riconosciuta dallo Stato.
L’avvocato può utilizzare esclusivamente i siti web con domini propri e direttamente riconducibili a sé, allo studio legale associato o alla società di avvocati alla quale partecipa, previa comunicazione tempestiva al Consiglio dell’Ordine di appartenenza della forma e del contenuto in cui è espresso.
Il professionista è responsabile del contenuto del sito e in esso deve indicare i dati previsti dal primo comma.
Il sito non può contenere riferimenti commerciali e/o pubblicitari mediante l’indicazione diretta o tramite banner o pop-up di alcun tipo.

B) Che II nuovo testo dell’articolo 18 c.d.f. è il seguente:

ART. 18 – Rapporti con la stampa.
Nei rapporti con la stampa e con gli altri mezzi di diffusione l’avvocato deve ispirarsi a criteri di equilibrio e misura nel rilasciare interviste, per il rispetto dei doveri di discrezione e riservatezza.
I. Il difensore, con il consenso del proprio assistito e nell’esclusivo interesse dello stesso, può fornire agli organi di informazione e di stampa notizie che non siano coperte dal segreto di indagine.
II. In ogni caso, nei rapporti con gli organi di informazione e con gli altri mezzi di diffusione, è fatto divieto all’avvocato di enfatizzare la propria capacità professionale, di spendere il nome dei propri clienti, di sollecitare articoli di stampa o interviste sia su organi di informazione sia su altri mezzi di diffusione; è fatto divieto altresì di convocare conferenze stampa fatte salve le esigenze di difesa del cliente.
III. E’ consentito all’avvocato, previa comunicazione al Consiglio dell’Ordine di
appartenenza, di tenere o curare rubriche fisse su organi di stampa con l’indicazione del
proprio nome e di partecipare a rubriche fisse televisive o radiofoniche.

C) Il nuovo testo dell’articolo 24 c.d.f. è il seguente:

ART. 24 – Rapporti con il Consiglio dell’Ordine.
L’avvocato ha il dovere di collaborare con il Consiglio dell’Ordine di appartenenza, o con altro che ne faccia richiesta, per l’attuazione delle finalità istituzionali osservando scrupolosamente il dovere di verità. A tal fine ogni iscritto è tenuto a riferire al Consiglio fatti a sua conoscenza relativi alla vita forense o alla amministrazione della giustizia, che richiedano iniziative o interventi collegiali.
I. Nell’ambito di un procedimento disciplinare, la mancata risposta dell’iscritto agli addebiti comunicatigli e la mancata presentazione di osservazioni e difese non costituisce autonomo illecito disciplinare, pur potendo tali comportamenti essere valutati dall’organo giudicante nella formazione del proprio libero convincimento.
II. Qualora il Consiglio dell’Ordine richieda all’iscritto chiarimenti, notizie o adempimenti in relazione ad un esposto presentato da una parte o da un collega tendente ad ottenere notizie o adempimenti nell’interesse dello stesso reclamante, la mancata sollecita risposta dell’iscritto costituisce illecito disciplinare.
III. L’avvocato chiamato a far parte del Consiglio dell’Ordine deve adempiere l’incarico con diligenza, imparzialità e nell’interesse generale.
IV. Ai fini della tenuta degli albi, l’avvocato ha il dovere di comunicare senza ritardo al Consiglio dell’Ordine di appartenenza ed eventualmente a quello competente per territorio, la costituzione di associazioni o società professionali e i successivi eventi modificativi, nonché l’apertura di studi principali, secondari e anche recapiti professionali.

D) Il nuovo testo dell’articolo 45 c.d.f., è il seguente:

ART. 45 – Accordi sulla definizione del compenso.
E’ consentito all’avvocato pattuire con il cliente compensi parametrati al raggiungimento degli obiettivi perseguiti, fermo il divieto dell’articolo 1261 ce. e sempre che i compensi siano proporzionati all’attività svolta, fermo il principio disposto dall’art. 2233 del Codice civile.

OMISSIS
IL CONSIGLIERE SEGRETARIO IL PRESIDENTE
f.to Avv. Pierluigi Tirale f.to Avv. Prof. Guido Alpa
E’ ESTRATTO CONFORME ALL’ORIGINALE.
Roma, 12 giugno 2008.
IL CONSIGLIERE SEGRETARIO
Avv. Pierluigi Tirale

© RIPRODUZIONE RISERVATA

Provvedimento Garante per la protezione dei dati personali 7/2/2008

Redazione

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Premesso:

Sono pervenute al Garante numerose segnalazioni in merito al regime di pubblicita’ nell’ambito dei procedimenti di espropriazione forzata.
Le questioni sollevate riguardano l’applicazione delle modifiche apportate all’art. 490 c.p.c. (previste dalla riforma del processo esecutivo entrata in vigore il 1° marzo 2006), in relazione ai contenuti e alle modalita’ di pubblicazione degli atti attraverso cui viene data notizia delle vendite giudiziarie.
In particolare, la prevista pubblicazione in appositi siti internet di copia dell’ordinanza del giudice che dispone sulla vendita forzata, nonche’ della relazione di stima dei beni da espropriare, in assenza di opportuni accorgimenti volti a tutelare la riservatezza degli interessati, avrebbe comportato, ad avviso dei segnalanti, un’ingiustificata diffusione dei nominativi dei debitori sottoposti alle procedure esecutive, nonche’ di eventuali terzi (ad esempio, dei proprietari di porzioni immobiliari confinanti con l’immobile dell’esecutato).
Sulla base degli approfondimenti svolti, il Garante ravvisa l’esigenza di indicare agli uffici giudiziari e ai professionisti delegati alle operazioni di vendita la necessita’ di adottare nell’espletamento delle procedure in esame modalita’ che, nel rispetto del pertinente dettato normativo, permettano di favorire ampia pubblicita’ agli atti del processo esecutivo rispettando, al contempo, i diritti degli interessati.

Osserva:

1. Pubblicita’ degli atti e diritti degli interessati. Gia’ con un provvedimento del 22 ottobre 1998, il Garante si e’ espresso sulla necessita’ di rispettare la dignita’ delle persone coinvolte nel processo esecutivo, auspicando un intervento del legislatore volto a evitare l’affissione di manifesti con i nominativi dei debitori e invitando gli uffici giudiziari ad adottare prassi piu’ attente e rispettose dei diritti degli interessati (Provv. 22 ottobre 1998, disponibile sul sito internet dell’Autorita’ www.garanteprivacy.it, doc. web n. 1104097). Il codice in materia di protezione dei dati personali ha poi modificato in tal senso il codice di procedura civile prevedendo, da un lato, che sia omessa l’indicazione del debitore negli avvisi relativi agli atti esecutivi pubblicati sui quotidiani e nelle forme della pubblicita’ commerciale (art. 174, comma 9, del codice; art. 490, comma 3, c.p.c.), e, dall’altro, che gli avvisi di vendita debbano indicare che «maggiori informazioni anche relative alle generalita’ del debitore possono essere fornite dalla cancelleria del tribunale a chiunque vi abbia interesse» (art. 174, comma 10, del codice; art. 570 c.p.c.).
Recenti interventi normativi (art. 2, comma 3, lettera e), decreto-legge 14 marzo 2005, n. 35, convertito, con modificazioni, dalla legge 14 maggio 2005, n. 80) hanno riformulato integralmente l’art. 490, comma 2, c.p.c. disponendo, in particolare, che gli avvisi, «in caso di espropriazione di beni mobili registrati, per un valore superiore a 25.000 euro, e di beni immobili», «unitamente a copia dell’ordinanza del giudice e della relazione di stima del bene» debbano essere «inseriti in appositi siti internet almeno quarantacinque giorni prima del termine per la presentazione delle offerte o della data dell’incanto». Con decreto del Ministro della giustizia del 31 ottobre 2006 (pubblicato nella Gazzetta Ufficiale della Repubblica italiana n. 297 del 22 dicembre 2006) sono stati individuati i siti internet destinati all’inserimento dei predetti avvisi.
Il descritto quadro normativo rivela, quindi, la particolare attenzione posta dal legislatore nel bilanciare le esigenze di pubblicita’ degli atti e i diritti degli interessati nell’ambito del processo esecutivo. Da un lato, l’omissione del nominativo del debitore nell’avviso di vendita (art. 490, terzo comma, c.p.c.) risponde alla necessita’ di tutelare il diritto degli interessati a non subire un’ingiustificata divulgazione dei dati personali che li riguardano. Dall’altro, la possibilita’ di conoscere le generalita’ del debitore, e ogni altra ulteriore utile informazione, attraverso le strutture degli uffici giudiziari (art. 570 c.p.c.) consente a chi sia realmente interessato all’acquisto un’informata valutazione circa l’effettiva situazione giuridica del bene da espropriare. 2. Pubblicazione on-line dell’ordinanza e della relazione di stima. La menzionata riforma del processo esecutivo ha assicurato una piu’ ampia pubblicita’ alle vendite giudiziarie prevedendo, come accennato, l’inserimento in appositi siti web, oltre che dell’avviso di vendita, anche di copia dell’ordinanza del giudice che dispone sulla vendita e della relazione di stima.
Come e’ emerso nei casi segnalati al Garante, talvolta le copie dell’ordinanza e della relazione di stima pubblicate contengono le generalita’ del debitore e di eventuali altri soggetti, quali i proprietari di porzioni immobiliari confinanti con il bene dell’esecutato, non direttamente interessati dalla procedura esecutiva.
Al riguardo, deve essere rilevato che la prevista consultabilita’ on-line di atti del procedimento esecutivo senza l’omissione delle generalita’ del debitore vanifica la tutela chiaramente garantita in altra parte della stessa disposizione, nella parte in cui (art. 490, terzo comma, c.p.c.), anche in relazione ad altre forme di pubblicita’ meno invasive, e’ precisamente disposto che nell’avviso in questione «e’ omessa l’indicazione del debitore». Pertanto, al fine di mantenere effettiva la tutela dei soggetti sottoposti a esecuzione forzata, come garantita dal codice in materia di protezione dei dati personali e dallo stesso art. 490, occorre che gli uffici giudiziari e i professionisti delegati alle operazioni di vendita ai sensi dell’art. 591-bis c.p.c. omettano l’indicazione del debitore e di ogni altro dato personale idoneo a rivelarne l’identita’, oltre che nell’avviso di vendita, anche nelle copie dell’ordinanza del giudice e della relazione di stima. D’altra parte, occorre che nelle copie pubblicate di tali atti non siano riportati i dati personali di soggetti estranei alla procedura esecutiva ove cio’ non sia previsto da una specifica norma di legge, trattandosi di informazioni eccedenti e non pertinenti rispetto alle finalita’ cui e’ preordinato il procedimento espropriativo. Cio’, al fine di assicurare il rispetto del principio di proporzionalita’ nel trattamento dei dati posto dall’art. 11, comma 1, lettera d) del codice, disposizione che trova applicazione anche in relazione ai trattamenti effettuati «per ragioni di giustizia» (art. 47 del codice).
Resta fermo che le generalita’ del debitore e ogni altra ulteriore informazione potranno essere richieste e ottenute presso la cancelleria del tribunale da chiunque vi abbia interesse (art. 570 c.p.c.).
Copia del presente provvedimento viene inviata al Ministero della giustizia e al Consiglio superiore della magistratura, per opportuna conoscenza in relazione alle rispettive attribuzioni, anche al fine di assicurare l’adozione di ogni idonea iniziativa volta a favorirne la diffusione presso gli uffici giudiziari interessati. Tenuto conto dell’alto numero di questi ultimi, va infine disposta, ai sensi dell’art. 143, comma 2, del codice, la pubblicazione del provvedimento nella Gazzetta Ufficiale della Repubblica italiana.

Tutto cio’ premesso, il Garante:

a) ai sensi dell’art. 154, comma 1, lettera c), del codice in materia di protezione dei dati personali, indica agli uffici giudiziari e ai professionisti delegati alle operazioni di vendita la necessita’ di non riportare, oltre che nell’avviso di vendita, nelle copie pubblicate delle ordinanze e delle relazioni di stima l’indicazione delle generalita’ del debitore e di ogni altro dato personale idoneo a rivelare l’identita’ di quest’ultimo e di eventuali soggetti terzi non previsto dalla legge e comunque eccedente e non pertinente rispetto alle procedure di vendita in corso;
b) dispone che copia del presente provvedimento venga inviata al Ministero della giustizia e al Consiglio superiore della magistratura, per opportuna conoscenza in relazione alle rispettive attribuzioni, anche al fine di assicurare l’adozione di ogni idonea iniziativa volta a favorirne la diffusione presso gli uffici giudiziari interessati;
c) ai sensi dell’art. 143, comma 2, del codice, dispone la pubblicazione del medesimo provvedimento nella Gazzetta Ufficiale della Repubblica italiana.

© RIPRODUZIONE RISERVATA


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it