Provvedimento Archivi

Provvedimento

Provvedimento Garante per la protezione dei dati personali 18/6/2009

Redazione

Tutto cio’ premesso, il Garante:

a) dichiara l’illiceita’ del trattamento e conseguentemente vieta, a chiunque ne sia o ne venga in possesso, ogni trattamento e, in particolare, la diffusione, ai sensi dell’art. 154, comma 1, lett. d) del Codice, delle 27 immagini contenute nel compact disk, che ritraggono, nel contesto e con le modalita’ descritte in motivazione, persone, tra cui il segnalante, all’interno del parco di Villa Certosa o delle abitazioni ivi situate;
b) conseguentemente e’, altresi’, vietato ogni trattamento e in particolare la diffusione, ai sensi dell’art. 154, comma 1, lett. d) del Codice, delle ulteriori immagini, aventi oggetto e contenuto simili, riprese, nel contesto e con le modalita’ descritte in motivazione, dal sig. Antonello Zappadu all’interno del parco di Villa Certosa o delle abitazioni ivi situate, secondo quanto da lui stesso dichiarato a questo Garante;
c) dichiara non luogo a procedere in ordine alle 13 immagini raccolte in luoghi pubblici e alle altre 3 immagini raccolte nel villaggio turistico.
Si dispone la trasmissione di copia del presente provvedimento al Ministero della giustizia – Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.

© RIPRODUZIONE RISERVATA

Provvedimento Garante per la protezione dei dati personali 18/6/2009

Redazione

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
In data odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Filippo Patroni Griffi, segretario generale;
VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali);
ESAMINATA la documentazione in atti;
VISTA la segnalazione del 22 aprile 2008, con cui alcuni partecipanti alla compagine condominiale di Viale delle Legioni Romane n. 65, Milano, nel quadro di una più ampia vicenda oggetto di molteplici controversie anche giudiziarie, hanno lamentato l’illecita divulgazione di dati personali a loro medesimi riferiti da parte dello stesso condominio a mezzo dell’amministratore pro tempore;
VISTO quanto asserito dai segnalanti, secondo cui l’anzidetta divulgazione sarebbe avvenuta mediante affissione, in spazi condominali accessibili al pubblico, di un avviso di rimozione delle autovetture parcheggiate nel cortile condominiale (oggetto di lavori per la costruzione di posti auto interrati) contenente indicazioni relative al numero di posto auto e alle targhe dei veicoli riconducibili ai segnalanti, nonché le foto delle auto medesime (cfr. segnalazione del 22 aprile 2008, cit. pp. 2-3);
VISTO quanto ulteriormente contestato dai segnalanti, secondo cui il condominio, successivamente alla menzionata affissione, avrebbe anche comunicato a terzi (nel dettaglio, il legale di fiducia dello stesso condominio e alcuni soggetti incaricati, a vario titolo, dei lavori per la costruzione dei posti auto interrati) alcuni dati personali ai medesimi segnalanti riferiti (consistenti nella notizia della mancata rimozione delle autovetture dal cortile condominiale, dell’inosservanza della delibera assembleare per l’affidamento dei lavori preventivati -con conseguente incremento dei costi per l’esecuzione dell’appalto e relativa richiesta di rimborso-, nonché i dati relativi alla targa e al modello della propria autovettura), senza che costoro avessero "titolo, né motivo, né necessità alcuna" per venirne a conoscenza (cfr. segnalazione del 22 aprile 2008, cit. pp. 2);
VISTO quanto richiesto dagli istanti, con particolare riferimento al divieto di reiterare comportamenti analoghi a quello contestato, "astenendosi da future analoghe forme di comunicazione e/o diffusione a terzi dei dati personali" dei segnalanti (segnalazione 22 aprile 2008);
VISTA la nota di risposta del 30 settembre 2008, con la quale il condominio ha dichiarato, ai sensi e per gli effetti di cui all’art. 168 del Codice, relativamente all’affissione nella bacheca condominiale dell’avviso contenente dati riferiti anche alla targhe delle autovetture dei segnalanti, che ciò sarebbe avvenuto "con il solo e ragionevole intento di contenere le spese per le corrette comunicazioni ai condomini" (cfr. nota del 30 settembre 2008, cit., p. 9);
VISTO inoltre quanto dichiarato dal condominio in ordine alla comunicazione a vantaggio del proprio legale di fiducia delle targhe relative alle autovetture riconducibili ai segnalanti, avvenuta al fine di consentire la tutela dei diritti del condominio medesimo (onde consentire di "proporre contro questi ultimi il ricorso di urgenza necessario per sgomberare il cantiere": cfr. nota del 30 settembre 2008, cit., p. 4);
VISTE le ulteriori precisazioni rese dal condominio in ordine agli altri soggetti (coinvolti a vario titolo nell’appalto) cui sono stati comunicati i dati, che riferiscono della necessità per il condominio stesso, l’impresa e la direzione dei lavori di coordinarsi reciprocamente "per reagire di fronte alle molestie di fatto ed agli impedimenti frapposti da chi disattendeva le delibere ed impediva la esecuzione del contratto di appalto approvato e sottoscritto"; ciò, anche al fine di consentire l’individuazione di eventuali testimoni che potessero confermare l’accaduto in sede giudiziaria (cfr. nota del 30 settembre 2008, cit., pp. 4-5 e 13);
PRESO ATTO che il condominio ritiene concluse le vicende oggetto di lamentela (tenuto conto dell’avvenuta rimozione delle auto a seguito di specifico provvedimento cautelare adottato dall’autorità giudiziaria) e che, quindi, non "permane alcun trattamento dei dati relativi alle auto ed alle targhe dei condomini" (cfr. nota del 30 settembre 2008, cit., p. 7);
VISTE le ulteriori osservazioni formulate dalle parti con le note del 23 ottobre 2008 e del 28 novembre 2008 (in atti);
RILEVATO preliminarmente che l’esposizione nella bacheca condominiale dell’informazione relativa al comportamento tenuto da alcuni condomini -consistente nell’inosservanza dell’invito a rimuovere i veicoli dall’area comune (per consentire l’esecuzione di lavori autorizzati da previa delibera assembleare)- indirettamente individuabili mediante i riferimenti alla collocazione dei rispettivi veicoli in posti-auto numerati, delle targhe dei medesimi unitamente alle fotografie degli stessi (elementi tutti contenuti nella comunicazione esposta nella menzionata bacheca condominiale) costituisce un trattamento di dati personali ai sensi dell’art. 4, comma 1, lett. b), d.lg. n. 196/2003, con conseguente applicazione alle medesime della disciplina del Codice;
RILEVATO che il trattamento delle predette informazioni da parte del condominio, in base agli elementi allo stato in atti, avrebbe potuto essere effettuato con modalità parimenti efficaci ma meno invasive, ricorrendo a forme di comunicazione individualizzata nei confronti dei condomini che non avevano tempestivamente provveduto a rimuovere il veicolo, ovvero ricorrendo a un invito a provvedervi, pur affisso nella bacheca, ma privo di riferimenti atti ad identificare gli interessati (cfr. Provv. Garante 18 maggio 2006, doc. web n. 1297626, punto 3.2);
RITENUTO pertanto che, nel caso di specie, l’affissione dell’avviso contenente informazioni relative ai segnalanti è avvenuta in difformità da quanto previsto dalla disciplina in materia di protezione dei dati personali, avuto riguardo ai principi di pertinenza e non eccedenza delle informazioni trattate (art. 11, comma 1, lett. d), del Codice);
RITENUTO opportuno prescrivere al condominio di Viale delle Legioni Romane n. 65 (per il tramite dell’amministratore p.t.) l’adozione di misure volte a prevenire, limitatamente all’ulteriore diffusione di dati personali riferiti ai partecipanti alla compagine condominiale, la reiterazione di trattamenti in violazione della disciplina del Codice consistenti nella comunicazione mediante la bacheca condominiale di avvisi che non siano di carattere generale (artt. 144, 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice);
RILEVATO altresì che, tenuto conto delle dichiarazioni rese al riguardo dal condominio (secondo cui la comunicazione ai soggetti a vario titolo coinvolti nell’appalto di dati personali dei segnalanti sarebbe avvenuta al fine di un coordinamento reciproco tra gli stessi, anche nell’ottica di "individuare le persone da indicare come testi" in sede giudiziaria: cfr. nota del 28 novembre 2008, cit., p. 3, nonché nota del 30 settembre 2008, cit., p. 13), non risulta allo stato provato che tale comunicazione -fatta eccezione per il legale di fiducia dello stesso condominio- sia pertinente e non eccedente ai sensi dell’art. 11, comma 1, lett. d), del Codice rispetto alla finalità perseguita (tenere indenne il condominio dal danno conseguente alla mancata rimozione dei veicoli dall’area comune); ciò, tenuto conto che tale mancata rimozione risulta già comprovata dal materiale fotografico raccolto dal condominio (per il tramite dell’amministratore p.t.), oltre che dalla (verosimile) presenza in loco delle stesse imprese interessate (impossibilitate all’esecuzione dei lavori deliberati proprio in ragione della presenza dei veicoli non rimossi). Né peraltro risulta agli atti che, limitatamente a tale comunicazione, gli interessati abbiano prestato il proprio consenso (art. 23 del Codice) o che, comunque, ricorrano i presupposti alternativi di cui all’art. 24 del Codice;
RILEVATO, pertanto, che anche detta comunicazione non risulta avvenuta, allo stato, in conformità alla disciplina in materia di protezione dei dati personali;
CONSIDERATO che il Garante ha il compito di vietare (anche d’ufficio) il trattamento, in tutto o in parte, se esso risulta illecito o non corretto (artt. 144, 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice);
RITENUTO pertanto di dover disporre nei confronti del condominio di Viale delle Legioni Romane n. 65 (per il tramite dell’amministratore p.t.), il divieto dell’ulteriore comunicazione ai soggetti sopra menzionati dei dati, limitatamente alla finalità dichiarata dal condominio, riferiti ai segnalanti e concernenti le notizie relative alla targa dei medesimi e alla asserita condizione di inadempienza alla delibera assembleare;
RILEVATO che, in caso di inosservanza del medesimo, si renderà applicabile la sanzione di cui all’art. 170 del Codice;
RILEVATO peraltro, il non luogo a procedere in ordine all’ulteriore profilo contestato (concernente la comunicazione al legale di fiducia del condominio dei dati personali riferiti ai segnalanti), tenuto conto della necessità manifestata dal condominio stesso (le cui dichiarazioni possono rilevare in sede penale ai sensi del citato art. 168 del Codice) di doversi tutelare in sede giudiziaria (art. 24, comma 1, lett. f), del Codice);
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Giuseppe Fortunato;

TUTTO CIÒ PREMESSO, IL GARANTE

rilevata l’illiceità del trattamento come descritto in premessa:
a) ai sensi degli artt. 144, 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice, prescrive al condominio di Viale delle Legioni Romane n. 65 (per il tramite dell’amministratore p.t.) di comunicare individualmente ai partecipanti alla compagine condominiale gli avvisi che non siano di carattere generale e relativi a eventi di interesse comune;
b) ai sensi degli artt. 144, 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice vieta al condominio stesso, limitatamente alla finalità dichiarata, l’ulteriore comunicazione ai soggetti coinvolti a vario titolo nell’appalto -fatta eccezione per il legale di fiducia dello stesso condominio- dei dati personali relativi ai segnalanti e concernenti le notizie relative alla targa dei medesimi e alla asserita condizione di inadempienza alla delibera assembleare.

© RIPRODUZIONE RISERVATA

Provvedimento Garante per la protezione dei dati personali 2/4/2009

Redazione

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Filippo Patroni Griffi, segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali);

VISTE le "Linee guida per posta elettronica e internet" adottate dal Garante con deliberazione n. 13 del 1° marzo 2007, pubblicate sulla G. U. n. 58 del 10 marzo 2007;

VISTO il reclamo con cui XY ha lamentato un illecito trattamento di dati personali a sé riferiti da parte di Italian Gasket S.p.A. (società presso cui l’interessato ha prestato servizio fino alla data del suo licenziamento, avvenuto nel mese di novembre 2007), la quale avrebbe minuziosamente monitorato gli accessi a Internet effettuati dal reclamante per un ampio arco temporale in violazione della disciplina prevista dallo Statuto dei lavoratori per il controllo a distanza dell’attività lavorativa (art. 4, l. 20 maggio 1970, n. 300) e dei principi di protezione dei dati personali richiamati nelle menzionate Linee guida;

VISTO quanto precisato dal reclamante, secondo cui la menzionata attività di monitoraggio effettuata dalla società avrebbe determinato l’irrogazione di alcune contestazioni disciplinari nei confronti dell’interessato, tra l’altro, per l’indebito utilizzo dello strumento elettronico assegnatogli in dotazione per lo svolgimento dell’attività lavorativa (cfr. reclamo del 4 agosto 2007, in atti, pp. 1-2);

VISTA la documentazione prodotta dal reclamante, che reca stampa delle pagine web visitate dall’interessato in un arco temporale pari a circa quattro mesi (dal 10 aprile 2007 al 25 luglio 2007), pagine che sarebbero state analiticamente registrate mediante utilizzo di un apposito software (denominato Squid) in grado di effettuare la memorizzazione ("caching") delle pagine web visualizzate;

VISTE le richieste formulate nel reclamo, con particolare riferimento all’adozione dei provvedimenti ritenuti più opportuni, anche a tutela degli altri lavoratori operanti presso la società;

ESAMINATE le risultanze istruttorie;

PRESO ATTO di quanto dichiarato dalla società ai sensi e per gli effetti di cui all’art. 168 del Codice, secondo cui l’attività di monitoraggio sarebbe stata avviata solo a seguito di disservizi provocati dal reclamante nell’utilizzo della rete Internet, riconducibili ad un’"eccessiva attività di scarico dati effettuata dalla postazione" riferita al medesimo reclamante (cfr. verbale di operazioni compiute del 25 febbraio 2009, p. 3);

RILEVATO che tale attività di monitoraggio è stata effettuata mediante utilizzo "del sistema di web proxy server Squid, appositamente installato e configurato dal responsabile del Ced pro-tempore al fine di monitorare le attività svolte dal sig. XY" (cfr. verbale di operazioni compiute del 25 febbraio 2009, cit., p. 3);

RILEVATO che la predetta attività, che "ha coperto l’arco temporale di circa nove mesi, dal febbraio all’ottobre 2007", è avvenuta mediante configurazione delle funzionalità del software installato con modalità tali da registrare gli "accessi a tutti i siti web visitati dal […] [reclamante]", con evidenziazione anche dei relativi domìni. Rilevato altresì che i log di accesso ai siti sono risultati essere "elaborati quotidianamente da un software denominato SARG […] che generava la relativa reportistica in un formato di più semplice lettura e analisi" (cfr. verbale di operazioni compiute del 25 febbraio 2009, cit., p. 4), tale da consentire al titolare del trattamento di venire a conoscenza e memorizzare "in chiaro":

il sito visitato ("accessed site");
il numero di connessioni ("connect");
la dimensione complessiva delle pagine visualizzate in rapporto al numero di connessioni effettuate in un periodo predefinito, espressa sia in termini analitici ("bytes") che percentuali ("%bytes");
il rapporto (in percentuale) tra i dati richiesti dal client provenienti dalla cache e quelli provenienti direttamente dal server ("in-cache-out");
il tempo trascorso sulle pagine visitate, espresso sia in termini analitici ("elapsed time" e "milisec") che percentuali ("%time");
RILEVATO che al reclamante, al pari di tutti gli altri dipendenti dell’azienda abilitati all’uso della rete Internet, erano "state fornite specifiche istruzioni circa l’utilizzo della postazione informativa individuale" (cfr. all. n. 1 al verbale, recante il "Regolamento aziendale per la sicurezza e l’utilizzo delle postazioni di informatica individuale" del 15 gennaio 2007, ove al punto 6.3. si legge che "è assolutamente proibita la navigazione in Internet per motivi diversi da quelli strettamente legati all’attività lavorativa"), peraltro "sottoscritte per presa visione" dai medesimi dipendenti, compreso lo stesso reclamante (cfr. verbale di operazioni compiute del 25 febbraio 2009, p. 2; cfr. altresì all. n. 1 al verbale);

RILEVATO altresì che il reclamante era stato previamente informato circa i controlli che sarebbero stati effettuati sulla propria postazione individuale in ordine agli accessi effettuati alla rete (cfr. allegato n. 2 al verbale del 25 febbraio 2009; cfr. altresì all. n. 1 al verbale del 26 febbraio 2009);

PRESO ATTO di quanto dichiarato dalla società in ordine all’impossibilità di adottare misure di carattere inibitorio per l’accesso a siti non pertinenti l’attività lavorativa, soluzione che, ancorché valutata e sperimentata in passato dalla società, non è stata ritenuta praticabile (cfr. verbale di operazioni compiute del 25 febbraio 2009, cit., p. 2);

RILEVATO che, alla luce delle dichiarazioni rese dalla società (secondo cui "nessuna attività di monitoraggio è stata effettuata in passato nei confronti di dipendenti diversi dal [reclamante]": cfr. verbale di operazioni compiute del 26 febbraio 2009, cit., p. 2) e della documentazione prodotta (la quale ha evidenziato che l’attività di tracciamento e di registrazione degli accessi alla rete Internet nei confronti del reclamante è avvenuta "in deroga alla normale prassi aziendale": cfr. all. n. 1 al verbale del 25 febbraio), non risulta allo stato provato che detta attività di monitoraggio abbia in passato interessato anche altri dipendenti;

RILEVATO che il menzionato software Squid risulta essere ancora installato e attivo con funzionalità diverse, tali da consentire "la gestione del proiettore, nonché l’aggiornamento automatico del sistema antivirus presente nelle singole postazioni client" (cfr. verbale di operazioni compiute del 25 febbraio 2009, cit., p. 3). Rilevato altresì che lo stesso software, alla luce delle dichiarazioni rese dalla società e a seguito dei tentativi di accesso effettuati in loco su un computer di un dipendente (che non hanno evidenziato la presenza di un proxy impostato nel browser Internet explorer: cfr. verbale di operazioni compiute del 25 febbraio 2009, cit., p. 4), non risulta allo stato "configurato in modalità di registrazione dei log di navigazione web", ma che potrebbe comunque "essere utilizzato in futuro per le medesime attività di monitoraggio" sopra richiamate (cfr. verbale di operazioni compiute del 25 febbraio 2009, cit., p. 5), ancorché non sia intenzione della società utilizzarlo in tal senso (cfr. verbale di operazioni compiute del 25 febbraio 2009, cit., p. 2);

RITENUTO che l’installazione di un software con funzionalità appositamente configurate per il tracciamento (sistematico e continuativo) degli accessi ad Internet da parte dell’interessato –con la conseguente memorizzazione di tutte le pagine web visualizzate dal reclamante– risulta essere avvenuta in violazione dell’art. 4, comma 1 della legge 20 maggio 1970, n. 300, che vieta l’impiego di apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori; rilevato, inoltre, che la società non ha neanche provveduto a svolgere gli adempimenti previsti dal secondo comma della medesima disposizione, in relazione alle funzionalità che mediante il software installato legittimamente possono essere perseguite per "esigenze organizzative e produttive" (cfr. verbale di operazioni compiute del 26 febbraio 2009, cit., p. 2);

RITENUTO, pertanto, che il trattamento di dati personali riferiti al reclamante, limitatamente agli accessi effettuati alla rete Internet, non risulta essere stato effettuato lecitamente dalla società (artt. 11, comma 1, lett. a) e 114 del Codice; cfr., altresì, il punto 4 delle menzionate Linee guida);

RITENUTO inoltre che detto trattamento non risulta essere stato lecitamente svolto neanche sotto il profilo della pertinenza e non eccedenza delle informazioni raccolte (art. 11, comma 1, lett. d), del Codice), tenuto conto che il monitoraggio effettuato dalla società (peraltro diretto ed esclusivo nei confronti del reclamante) risulta essere stato prolungato e costante (cfr. le citate Linee guida, punto 6);

CONSIDERATO che il Garante può disporre il divieto del trattamento ai sensi degli artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice in caso di trattamento di dati illecito o non corretto;

RITENUTO pertanto di dover disporre, nei confronti di Italian Gasket S.p.A., il divieto dell’ulteriore trattamento dei dati personali riferiti al reclamante, limitatamente al monitoraggio degli accessi a Internet;

RITENUTO di dover disporre la trasmissione degli atti e di copia del presente provvedimento all’autorità giudiziaria per le valutazioni di competenza in ordine agli illeciti penali che riterrà eventualmente configurabili;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Mauro Paissan;

TUTTO CIÒ PREMESSO IL GARANTE

1. ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, vieta a Italian Gasket S.p.A. l’ulteriore trattamento dei dati personali riferiti al reclamante, limitatamente al monitoraggio degli accessi a Internet (artt. 11, comma 1, lett. a) e d) e 114 del Codice e art. 4, primo comma, l. 20 maggio 1970, n. 300);

2. dispone la trasmissione degli atti e di copia del presente provvedimento all’autorità giudiziaria per le valutazioni di competenza in ordine agli illeciti penali che riterrà eventualmente configurabili.

© RIPRODUZIONE RISERVATA

Provvedimento Garante per la protezione dei dati personali 27/11/2008

Redazione

Il Garante:

a) ai sensi dell’art. 34, comma 1-bis, del codice individua nell’unito prospetto che costituisce parte integrante del presente provvedimento le modalita’ semplificate per applicare le misure minime di sicurezza per il trattamento dei dati personali;
b) dispone che copia del presente provvedimento sia trasmessa al Ministero della giustizia – Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.

MISURE SEMPLIFICATE PER APPLICARE LE MISURE MINIMEDI SICUREZZA NEL TRATTAMENTO DEI DATI PERSONALI

1. Soggetti che possono avvalersi della semplificazione.

Le seguenti modalita’ semplificate sono applicabili dai soggetti pubblici o privati che:
a) utilizzano dati personali non sensibili o che trattano come unici dati sensibili – riferiti ai propri dipendenti e collaboratori anche a progetto – quelli costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero dall’adesione a organizzazioni sindacali o a carattere sindacale;
b) trattano dati personali unicamente per correnti finalita’ amministrative e contabili, in particolare presso liberi
professionisti, artigiani e piccole e medie imprese (cfr. art. 2083 cod. civ. e d.m. 18 aprile 2005, recante adeguamento alla disciplina comunitaria dei criteri di individuazione di piccole e medie imprese, pubblicato nella Gazzetta Ufficiale 12 ottobre 2005, n. 238).

2. Trattamenti effettuati con strumenti elettronici

I soggetti di cui al paragrafo 1 possono applicare le misure minime di sicurezza prescritte dalla disciplina in materia di trattamenti realizzati con l’ausilio di strumenti elettronici (art. 34 del Codice e regole da 1 a 26 dell’allegato B) osservando le modalita’ semplificate di seguito individuate.

2.1. Istruzioni agli incaricati del trattamento (modalita’ applicative delle regole di cui ai punti 4, 9, 18 e 21 dell’allegato B))
Le istruzioni in materia di misure minime di sicurezza previste dall’allegato B) possono essere impartite agli incaricati del trattamento anche oralmente, con indicazioni di semplice e chiara formulazione.
2.2. Sistema di autenticazione informatica (modalita’ applicative delle regole di cui ai punti 1, 2, 3, 5, 6, 7, 8, 10 e 11 dell’allegatoB))
Per l’accesso ai sistemi informatici si puo’ utilizzare un qualsiasi sistema di autenticazione basato su un codice per
identificare chi accede ai dati (di seguito, «username»), associato a una parola chiave (di seguito: «password»), in modo che:
a) l’username individui in modo univoco una sola persona, evitando che soggetti diversi utilizzino codici identici;
b) la password sia conosciuta solo dalla persona che accede ai dati.
L’username deve essere disattivato quando l’incaricato non ha piu’ la qualita’ che rende legittimo l’utilizzo dei dati (ad esempio, in quanto non opera piu’ all’interno dell’organizzazione).
Puo’ essere adottata, quale procedura di autenticazione anche la procedura di login disponibile sul sistema operativo delle postazioni di lavoro connesse a una rete.
In caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile e indifferibile intervenire per esclusive necessita’ di operativita’ e di sicurezza del sistema, se l’accesso ai dati e agli strumenti elettronici e’ consentito esclusivamente mediante uso della password, il titolare puo’ assicurare la disponibilita’ di dati o strumenti elettronici con procedure o modalita’ predefinite. Riguardo a tali modalita’, sono fornite preventive istruzioni agli incaricati e gli stessi sono informati degli interventi effettuati (ad esempio, prescrivendo ai lavoratori
che si assentino dall’ufficio per ferie l’attivazione di modalita’ che consentano di inviare automaticamente messaggi di posta elettronica ad un altro recapito accessibile: si vedano le Linee guida in materia di lavoro per posta elettronica e Internet approvate dal Garante e pubblicate nella Gazzetta Ufficiale 10 marzo 2007, n. 58 [doc. web n. 1387522]).
2.3. Sistema di autorizzazione (modalita’ applicative delle regole di cui ai punti 12, 13 e 14 dell’Allegato B))
Qualora sia necessario diversificare l’ambito del trattamento consentito, possono essere assegnati agli incaricati – singolarmente o per categorie omogenee – corrispondenti profili di autorizzazione, tramite un sistema di autorizzazione o funzioni di autorizzazione incorporate nelle applicazioni software o nei sistemi operativi, cosi’ da limitare l’accesso ai soli dati necessari per effettuare leoperazioni di trattamento.
2.4. Altre misure di sicurezza (modalita’ applicative delle regole di cui ai punti 15, 16, 17 e 18 dell’allegato B))
I soggetti di cui al paragrafo 1 assicurano che l’ambito di trattamento assegnato ai singoli incaricati, nonche’ agli addetti alla gestione o alla manutenzione degli strumenti elettronici, sia coerente con i principi di adeguatezza, proporzionalita’ e necessita’, anche attraverso verifiche periodiche, provvedendo, quando e’ necessario, ad aggiornare i profili di autorizzazione eventualmente accordati.
Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilita’ di strumenti elettronici (ad esempio, antivirus), anche con riferimento ai programmi di cui all’art. 615-quinquies del codice penale, nonche’ a correggerne difetti, sono effettuati almeno annualmente. Se il computer non e’ connesso a reti di comunicazione elettronica accessibili al pubblico (linee Adsl, accesso a Internet tramite rete aziendale, posta elettronica), l’aggiornamento deve essere almeno biennale. I dati possono essere salvaguardati anche attraverso il loro
salvataggio con frequenza almeno mensile. Il salvataggio periodico puo’ non riguardare i dati non modificati dal momento dell’ultimo salvataggio effettuato (dati statici), purche’ ne esista una copia di sicurezza da cui effettuare eventualmente il ripristino.
2.5. Documento programmatico sulla sicurezza (modalita’ applicative delle regole di cui ai punti da 19.1 a 19.8
dell’allegatoB))
2.5.1. Fermo restando che per alcuni casi e’ gia’ previsto per disposizione di legge che si possa redigere un’autocertificazione in luogo del documento programmatico sulla sicurezza (vedi il precedente par. 1, lett. a); art. 29 d.l. n. 112/2008 cit.), i soggetti pubblici e privati che trattano dati personali unicamente per correnti finalita’ amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese, possono redigere un documento programmatico sulla sicurezza semplificato sulla base delle indicazioni di seguito riportate.
Il documento deve essere redatto prima dell’inizio del trattamento e deve essere aggiornato entro il 31marzo di ogni anno nel caso in cui, nel corso dell’anno solare precedente, siano intervenute modifiche rispetto a quanto dichiarato nel precedente documento.
Il documento deve avere i seguenti contenuti:
a) le coordinate identificative del titolare del trattamento, nonche’, se designati, gli eventuali responsabili. Nel caso in cui l’organizzazione preveda una frequente modifica dei responsabili designati, potranno essere indicate le modalita’ attraverso le quali e’ possibile individuare l’elenco aggiornato dei responsabili del trattamento;
b) una descrizione generale del trattamento o dei trattamenti realizzati, che permetta di valutare l’adeguatezza delle misure adottate per garantire la sicurezza del trattamento. In tale descrizione vanno precisate le finalita’ del trattamento, le categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime, nonche’ i destinatari o le categorie di destinatari a cui i dati possono essere comunicati;
c) l’elenco, anche per categorie, degli incaricati del trattamento e delle relative responsabilita’. Nel caso in cui
l’organizzazione preveda una frequente modifica dei responsabili designati, potranno essere indicate le modalita’ attraverso le quali e’ possibile individuare l’elenco aggiornato dei responsabili del trattamento con le relative responsabilita’;
d) una descrizione delle altre misure di sicurezza adottate per prevenire i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalita’ della raccolta.

3. Modalita’ applicative per i trattamenti realizzati senza l’ausilio di strumenti elettronici (modalita’ applicative delle regole di cui ai punti 27, 28 e 29 dell’allegato B))

I soggetti di cui al paragrafo 1 possono adempiere all’obbligo di adottare le misure minime di sicurezza di cui all’art. 35 del codice applicando le misure contenute nell’allegato B) relativamente ai trattamenti realizzati senza l’ausilio di strumenti elettronici (regole da 27 a 29 dello stesso allegato B)), con le modalita’ semplificate di seguito individuate.
3.1. Agli incaricati sono impartite, anche oralmente, istruzioni finalizzate al controllo e alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali.
3.2. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dai medesimi incaricati fino alla restituzione in modo che a essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.

© RIPRODUZIONE RISERVATA

Provvedimento Garante per la protezione dei dati personali 19/6/2008

Redazione

Premesso:

1. Esigenze alla base di nuove misure di semplificazione

Presso vari operatori si avverte l’esigenza di alcune semplificazioni nell’applicazione della disciplina sulla protezione dei dati personali.
La riflessione in ambito pubblico e privato e’ avvertita in modo particolare presso piccole e medie imprese, liberi professionisti e artigiani, per quanto riguarda la gestione di informazioni attinenti ad altre imprese, amministrazioni, clienti, fornitori e dipendenti utilizzate, anche in relazione a obblighi contrattuali e normativi, per correnti finalita’ amministrative e contabili.
Sulla base dell’esperienza acquisita in materia vengono prospettate alcune criticita’ rispetto a determinate modalita’ per adempiere a obblighi di legge o derivanti da un contratto, avvertite come troppo onerose in rapporto alle garanzie per gli interessati.
Il Garante ha completato un’analisi approfondita della problematica. In aggiunta alle misure di semplificazione disposte con decisioni per casi specifici, l’Autorita’ ha intrapreso varie iniziative, anche sulla base di un dialogo con le categorie interessate, che ha gia’ comportato l’approvazione di un provvedimento di carattere generale («Guida pratica e misure di semplificazione per le piccole e medie imprese», Provv. 24 maggio 2007, n. 21, in Gazzetta Ufficiale 21 giugno 2007, n. 142 e doc. web n. 1412271).
Dall’istruttoria sono emerse tre valutazioni di fondo:
a) alcune modalita’ applicative, seguite soprattutto presso piccole imprese, liberi professionisti e artigiani, sono ancora basate su approcci prettamente burocratici e di ordine puramente formale. Istituti posti a garanzia degli interessati vengono banalizzati in contrasto con lo spirito del Codice che intende assicurare una protezione elevata dei diritti e delle liberta’ fondamentali «nel rispetto dei principi di semplificazione, armonizzazione ed efficacia» (art. 2, comma 2). Da tali prassi conseguono adempimenti superflui o ripetuti inutilmente, talvolta anche per effetto di erronee valutazioni fornite in sede di consulenza, con oneri organizzativi da cui non deriva un reale valore aggiunto ai fini della correttezza e della trasparenza del trattamento e che gli interessati avvertono con disinteresse o fastidio;
b) e’ possibile apportare ulteriori semplificazioni (in particolare per agevolare la corrente attivita’ gestionale di organismi pubblici e privati di ridotte dimensioni), in aggiunta a quelle gia’ introdotte per legge o da questa Autorita’ e in armonia con la disciplina complessiva, anche comunitaria, della materia, salvaguardando i diritti e le liberta’ fondamentali dei cittadini;
c) la protezione dei dati personali puo’ rappresentare una risorsa, anche per piccole e medie imprese, rendere piu’ efficiente l’attivita’ gestionale e incrementare la fiducia degli interessati.
L’Autorita’ intende fornire un suo nuovo contributo in materia esercitando le attribuzioni che le sono conferite per legge.
Con il presente provvedimento sono pertanto individuate soluzioni concrete volte ad agevolare ulteriormente l’ordinaria attivita’ di gestione amministrativa e contabile, in modo particolare rispetto ai casi in cui non sono trattati dati di carattere sensibile o giudiziario. Di seguito, vengono quindi enunciate nuove linee guida-interpretative della normativa vigente e sono individuate alcune modalita’ innovative per semplificare taluni adempimenti, in modo particolare per l’informativa agli interessati e il consenso.

2. L’informativa agli interessati

Diverse realta’, specie imprenditoriali di piccole e medie dimensioni, trattano dati, anche in relazione a obblighi contrattuali, precontrattuali o di legge, esclusivamente per finalita’ di ordine amministrativo e contabile (gestione di ordinativi, buste paga e di ordinaria corrispondenza con clienti, fornitori, realta’ esterne di supporto anche in outsourcing, dipendenti); spesso, cio’ accade in relazione a informazioni che non hanno carattere sensibile o giudiziario.
Alcune tra le criticita’ menzionate riguardano le modalita’ con cui l’informativa e’ fornita per iscritto, anziche’ oralmente (art. 13).
Sono stati formati spesso moduli lunghi e burocratici, privi di comunicativita’ e basati sull’eccessivo uso di espressioni prettamente giuridiche, inidonee a far comprendere le caratteristiche principali del trattamento. Alla mancanza di chiarezza si e’ sommata l’inutile ripetizione dell’informativa in occasione di ciascun contatto con gli interessati, frazionando le spiegazioni che andrebbero invece fornite in modo organico e possibilmente unitario.
Il Garante intende prescrivere a tutti i titolari in ambito privato e pubblico alcune misure opportune e formulare indicazioni per semplificare l’informativa nei termini di cui al seguente dispositivo (articoli 2, comma 2, 13, commi 3 e 5 e 154, comma 1, lettera c)).

3. Il consenso

Il Garante, con riferimento al consenso (art. 23), considerati i principi di efficacia e proporzionalita’ e in relazione agli articoli 2, 18, 24 comma 1 e 154, comma 1, lettera c), del Codice, intende anche prescrivere a tutti i titolari del trattamento pubblici e privati alcune misure opportune affinche’ non richiedano il consenso nei vari casi in cui esso non deve essere richiesto (dai soggetti pubblici) o e’ superfluo (per i soggetti privati). Cio’, in particolare, quando:
a) il trattamento dei dati in ambito privato e’ svolto per adempiere a obblighi contrattuali o normativi o, comunque, per ordinarie finalita’ amministrative e contabili;
b) i dati trattati provengono da pubblici registri ed elenchi pubblici conoscibili da chiunque o sono relativi allo svolgimento di attivita’ economiche dell’interessato (vedasi, per i presupposti relativi a ciascuno dei predetti casi, l’art. 24, comma 1; vedasi anche l’art. 18, comma 4).
Il Garante, in applicazione dell’istituto del bilanciamento degli interessi (art. 24, comma 1, lettera g)) intende anche individuare un’ulteriore ipotesi nella quale il consenso non va richiesto.
Il titolare del trattamento che abbia gia’ venduto un prodotto o prestato un servizio a un interessato, nel quadro dello svolgimento di ordinarie finalita’ amministrative e contabili, potra’ utilizzare nei termini di cui al seguente dispositivo i recapiti (oltre che di posta elettronica, come gia’ previsto per legge: art. 130, comma 4) di posta cartacea forniti dall’interessato medesimo, per inviare ulteriore suo materiale pubblicitario o promuovere una sua vendita diretta o per compiere sue ricerche di mercato o di comunicazione commerciale.
Tale bilanciamento degli interessi considera le difficolta’ rappresentate da alcuni operatori economici nel conservare un proprio diretto «canale comunicativo» con i soggetti con i quali abbiano gia’ instaurato un rapporto contrattuale; tiene al tempo stesso conto del diritto dell’interessato a non essere disturbato mediante comunicazioni promozionali, in base a garanzie analoghe a quelle previste, per la situazione appena indicata, per l’uso della posta elettronica (art. 130, comma 4; vedasi anche, con riguardo alle comunicazioni postali, l’art. 58, comma 2, decreto legislativo n. 206/2005).
Non e’ necessario rivolgere un’istanza al Garante per avvalersi delle opportunita’ previste dal presente punto 3.
Viene infine dato atto nel seguente dispositivo di alcune altre risultanze dell’istruttoria relative alla designazione degli incaricati del trattamento e alla notificazione dei trattamenti.

Tutto cio’ premesso il Garante

1. Ai sensi degli articoli 2, comma 2, 13, commi 3 e 5 e 154, comma 1, lettera c), del Codice formula a tutti i titolari del trattamento in ambito privato e pubblico, in particolare a piccole e medie imprese, liberi professionisti, artigiani, le seguenti indicazioni per semplificare l’informativa rispetto allo svolgimento di correnti finalita’ amministrative e contabili, anche in relazione all’adempimento di obblighi contrattuali, precontrattuali o normativi. Detti soggetti possono:
a) fornire un’unica informativa per il complesso dei trattamenti, anziche’ per singoli aspetti del rapporto con gli interessati;
b) fornire a questi ultimi una ricostruzione organica dei trattamenti e con linguaggio semplice, senza frammentarla o reiterarla inutilmente;
c) indicare le informazioni essenziali in un quadro adeguato di lealta’ e correttezza;
d) redigere, per quanto possibile, una prima informativa breve.
All’interessato, anche oralmente, andrebbero indicate sinteticamente alcune prime notizie chiarendo subito, con immediatezza, le principali caratteristiche del trattamento. In linea di massima l’informativa breve, quando e’ scritta, puo’ avere la seguente formulazione:«I SUOI DATI PERSONALI.§
Utilizziamo – anche tramite collaboratori esterni – i dati che la riguardano esclusivamente per nostre finalita’ amministrative e contabili, anche quando li comunichiamo a terzi. Informazioni dettagliate, anche in ordine al suo diritto di accesso e agli altri suoi diritti, sono riportate su……»;
e) per l’informativa, specie per quella breve, si possono utilizzare gli spazi utili nel materiale cartaceo e nella corrispondenza che si impiegano gia’, ordinariamente, per finalita’ amministrative e contabili;
f) l’informativa breve puo’ rinviare a un testo piu’ articolato, disponibile agevolmente senza oneri per gli interessati, in luoghi e con modalita’ facilmente accessibili anche con strumenti informatici e telematici (in particolare, tramite reti Intranet o siti Internet, affissioni in bacheche o locali, avvisi e cartelli agli sportelli per la clientela, messaggi preregistrati disponibili digitando un numero telefonico gratuito). Anche questa piu’ ampia informativa deve essere improntata a correttezza, tenendo conto di possibili modifiche del trattamento, ed essere basata su espressioni sintetiche, chiare e comprensibili. Le notizie da indicare per legge (art. 13, comma 1) devono essere aggiornate, specificando la data dell’ultimo aggiornamento;
g) e’ possibile non inserire nell’informativa piu’ articolata gli elementi noti all’interessato (art. 13, commi 2 e 4). E’ opportuno omettere riferimenti meramente burocratici o circostanze ovvie, per esempio quando alcune informazioni, compresi gli estremi identificativi del titolare, risultano da altre parti del documento in cui e’ presente l’informativa. Vanno utilizzate espressioni efficaci, anche se sintetiche, anche per quanto riguarda i diritti degli interessati e l’organismo o soggetto al quale rivolgersi per esercitarli. Se e’ prevista la raccolta di dati presso terzi e’ possibile formulare una sola informativa per i dati forniti direttamente dall’interessato e per quelli che saranno acquisiti presso terzi. Per questi ultimi dati, l’informativa puo’ non essere fornita quando vi e’ un obbligo normativo di trattarli (art. 13, comma 5);
h) e’ opportuno che l’informativa piu’ articolata sia basata su uno schema tendenzialmente uniforme per il settore di attivita’ del titolare del trattamento;
i) e’ invece necessario fornire un’informativa specifica o ad hoc quando il trattamento ha caratteristiche del tutto particolari perche’ coinvolge, ad esempio, peculiari informazioni (es. dati genetici) o prevede forme inusuali di utilizzazione di dati, specie sensibili, rispetto alle ordinarie esigenze amministrative e contabili, o puo’ comportare rischi specifici per gli interessati (ad esempio, rispetto a determinate forme di uso di dati biometrici o di controllo delle attivita’ dei lavoratori). Se il titolare del trattamento e’ un soggetto pubblico devono essere inserite le indicazioni che la legge prevede per i dati sensibili e giudiziari.
2. Invita le associazioni di categoria a predisporre informative-tipo per determinati settori o categorie di trattamento, anche in collaborazione con questa Autorita’. Il Garante si riserva in questo quadro di porre a disposizione gratuita (chiedendo anche la collaborazione delle camere di commercio), un kit contenente concrete istruzioni e fac-simile per semplificare tutti gli adempimenti in materia.
3. Richiama l’attenzione dei titolari del trattamento sulla circostanza che la designazione degli incaricati del trattamento puo’ avvenire in modo semplificato evitando singoli atti circostanziati relativi distintamente a ciascun incaricato, individuando i trattamenti di dati e le relative modalita’ che sono consentiti all’unita’ cui sono addetti gli incaricati stessi (art. 30).
4. Richiama l’attenzione dei titolari del trattamento sulla circostanza che, per effetto delle previsioni del Codice e delle determinazioni gia’ adottate da questa Autorita’, la notificazione telematica al Garante non e’ necessaria per perseguire finalita’ amministrative e contabili, salvo che per eventuali casi eccezionali indicati per legge (art. 37).
5. Ai sensi degli articoli 2, comma 2, 24 e 154, comma 1, lettera c), del Codice invita tutti i titolari del trattamento pubblici e privati a non chiedere il consenso degli interessati quando il trattamento dei dati e’ svolto, anche in relazione all’adempimento di obblighi contrattuali, precontrattuali o normativi, esclusivamente per correnti finalita’ amministrative e contabili, nonche’ quando i dati provengono da pubblici registri ed elenchi pubblici conoscibili da chiunque, o sono relativi allo svolgimento di attivita’ economiche o sono trattati da un soggetto pubblico.
6. In applicazione del principio del bilanciamento degli interessi (art. 24, comma 1, lettera g)), dispone che i titolari del trattamento in ambito privato che hanno venduto un prodotto o prestato un servizio, nel quadro del perseguimento di ordinarie finalita’ amministrative e contabili, possono utilizzare senza il consenso i recapiti (oltre che di posta elettronica come gia’ previsto per legge) di posta cartacea forniti dall’interessato, ai fini dell’invio diretto di proprio materiale pubblicitario o di propria vendita diretta o per il compimento di proprie ricerche di mercato o di comunicazione commerciale. Cio’, rispettando anche le garanzie previste per le attivita’ di profilazione degli interessati (Provv. 24 febbraio 2005, doc. web n. 1103045), a condizione che:
a) tale attivita’ promozionale riguardi beni e servizi del medesimo titolare e analoghi a quelli oggetto della vendita;
b) l’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione effettuata per le menzionate finalita’, sia informato della possibilita’ di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente, anche mediante l’utilizzo della posta elettronica o del fax o del telefono e di ottenere un immediato riscontro che confermi l’interruzione di tale trattamento (art. 7, comma 4);
c) l’interessato medesimo, cosi’ adeguatamente informato gia’ prima dell’instaurazione del rapporto, non si opponga a tale uso, inizialmente o in occasione di successive comunicazioni.
7. Dispone che copia del presente provvedimento sia trasmessa al Ministero della giustizia – Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana, nonche’ alle associazioni di categoria, ai ministeri interessati e alle camere di commercio.

© RIPRODUZIONE RISERVATA

Provvedimento Garante per la protezione dei dati personali 7/2/2008

Redazione

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Premesso:

Sono pervenute al Garante numerose segnalazioni in merito al regime di pubblicita’ nell’ambito dei procedimenti di espropriazione forzata.
Le questioni sollevate riguardano l’applicazione delle modifiche apportate all’art. 490 c.p.c. (previste dalla riforma del processo esecutivo entrata in vigore il 1° marzo 2006), in relazione ai contenuti e alle modalita’ di pubblicazione degli atti attraverso cui viene data notizia delle vendite giudiziarie.
In particolare, la prevista pubblicazione in appositi siti internet di copia dell’ordinanza del giudice che dispone sulla vendita forzata, nonche’ della relazione di stima dei beni da espropriare, in assenza di opportuni accorgimenti volti a tutelare la riservatezza degli interessati, avrebbe comportato, ad avviso dei segnalanti, un’ingiustificata diffusione dei nominativi dei debitori sottoposti alle procedure esecutive, nonche’ di eventuali terzi (ad esempio, dei proprietari di porzioni immobiliari confinanti con l’immobile dell’esecutato).
Sulla base degli approfondimenti svolti, il Garante ravvisa l’esigenza di indicare agli uffici giudiziari e ai professionisti delegati alle operazioni di vendita la necessita’ di adottare nell’espletamento delle procedure in esame modalita’ che, nel rispetto del pertinente dettato normativo, permettano di favorire ampia pubblicita’ agli atti del processo esecutivo rispettando, al contempo, i diritti degli interessati.

Osserva:

1. Pubblicita’ degli atti e diritti degli interessati. Gia’ con un provvedimento del 22 ottobre 1998, il Garante si e’ espresso sulla necessita’ di rispettare la dignita’ delle persone coinvolte nel processo esecutivo, auspicando un intervento del legislatore volto a evitare l’affissione di manifesti con i nominativi dei debitori e invitando gli uffici giudiziari ad adottare prassi piu’ attente e rispettose dei diritti degli interessati (Provv. 22 ottobre 1998, disponibile sul sito internet dell’Autorita’ www.garanteprivacy.it, doc. web n. 1104097). Il codice in materia di protezione dei dati personali ha poi modificato in tal senso il codice di procedura civile prevedendo, da un lato, che sia omessa l’indicazione del debitore negli avvisi relativi agli atti esecutivi pubblicati sui quotidiani e nelle forme della pubblicita’ commerciale (art. 174, comma 9, del codice; art. 490, comma 3, c.p.c.), e, dall’altro, che gli avvisi di vendita debbano indicare che «maggiori informazioni anche relative alle generalita’ del debitore possono essere fornite dalla cancelleria del tribunale a chiunque vi abbia interesse» (art. 174, comma 10, del codice; art. 570 c.p.c.).
Recenti interventi normativi (art. 2, comma 3, lettera e), decreto-legge 14 marzo 2005, n. 35, convertito, con modificazioni, dalla legge 14 maggio 2005, n. 80) hanno riformulato integralmente l’art. 490, comma 2, c.p.c. disponendo, in particolare, che gli avvisi, «in caso di espropriazione di beni mobili registrati, per un valore superiore a 25.000 euro, e di beni immobili», «unitamente a copia dell’ordinanza del giudice e della relazione di stima del bene» debbano essere «inseriti in appositi siti internet almeno quarantacinque giorni prima del termine per la presentazione delle offerte o della data dell’incanto». Con decreto del Ministro della giustizia del 31 ottobre 2006 (pubblicato nella Gazzetta Ufficiale della Repubblica italiana n. 297 del 22 dicembre 2006) sono stati individuati i siti internet destinati all’inserimento dei predetti avvisi.
Il descritto quadro normativo rivela, quindi, la particolare attenzione posta dal legislatore nel bilanciare le esigenze di pubblicita’ degli atti e i diritti degli interessati nell’ambito del processo esecutivo. Da un lato, l’omissione del nominativo del debitore nell’avviso di vendita (art. 490, terzo comma, c.p.c.) risponde alla necessita’ di tutelare il diritto degli interessati a non subire un’ingiustificata divulgazione dei dati personali che li riguardano. Dall’altro, la possibilita’ di conoscere le generalita’ del debitore, e ogni altra ulteriore utile informazione, attraverso le strutture degli uffici giudiziari (art. 570 c.p.c.) consente a chi sia realmente interessato all’acquisto un’informata valutazione circa l’effettiva situazione giuridica del bene da espropriare. 2. Pubblicazione on-line dell’ordinanza e della relazione di stima. La menzionata riforma del processo esecutivo ha assicurato una piu’ ampia pubblicita’ alle vendite giudiziarie prevedendo, come accennato, l’inserimento in appositi siti web, oltre che dell’avviso di vendita, anche di copia dell’ordinanza del giudice che dispone sulla vendita e della relazione di stima.
Come e’ emerso nei casi segnalati al Garante, talvolta le copie dell’ordinanza e della relazione di stima pubblicate contengono le generalita’ del debitore e di eventuali altri soggetti, quali i proprietari di porzioni immobiliari confinanti con il bene dell’esecutato, non direttamente interessati dalla procedura esecutiva.
Al riguardo, deve essere rilevato che la prevista consultabilita’ on-line di atti del procedimento esecutivo senza l’omissione delle generalita’ del debitore vanifica la tutela chiaramente garantita in altra parte della stessa disposizione, nella parte in cui (art. 490, terzo comma, c.p.c.), anche in relazione ad altre forme di pubblicita’ meno invasive, e’ precisamente disposto che nell’avviso in questione «e’ omessa l’indicazione del debitore». Pertanto, al fine di mantenere effettiva la tutela dei soggetti sottoposti a esecuzione forzata, come garantita dal codice in materia di protezione dei dati personali e dallo stesso art. 490, occorre che gli uffici giudiziari e i professionisti delegati alle operazioni di vendita ai sensi dell’art. 591-bis c.p.c. omettano l’indicazione del debitore e di ogni altro dato personale idoneo a rivelarne l’identita’, oltre che nell’avviso di vendita, anche nelle copie dell’ordinanza del giudice e della relazione di stima. D’altra parte, occorre che nelle copie pubblicate di tali atti non siano riportati i dati personali di soggetti estranei alla procedura esecutiva ove cio’ non sia previsto da una specifica norma di legge, trattandosi di informazioni eccedenti e non pertinenti rispetto alle finalita’ cui e’ preordinato il procedimento espropriativo. Cio’, al fine di assicurare il rispetto del principio di proporzionalita’ nel trattamento dei dati posto dall’art. 11, comma 1, lettera d) del codice, disposizione che trova applicazione anche in relazione ai trattamenti effettuati «per ragioni di giustizia» (art. 47 del codice).
Resta fermo che le generalita’ del debitore e ogni altra ulteriore informazione potranno essere richieste e ottenute presso la cancelleria del tribunale da chiunque vi abbia interesse (art. 570 c.p.c.).
Copia del presente provvedimento viene inviata al Ministero della giustizia e al Consiglio superiore della magistratura, per opportuna conoscenza in relazione alle rispettive attribuzioni, anche al fine di assicurare l’adozione di ogni idonea iniziativa volta a favorirne la diffusione presso gli uffici giudiziari interessati. Tenuto conto dell’alto numero di questi ultimi, va infine disposta, ai sensi dell’art. 143, comma 2, del codice, la pubblicazione del provvedimento nella Gazzetta Ufficiale della Repubblica italiana.

Tutto cio’ premesso, il Garante:

a) ai sensi dell’art. 154, comma 1, lettera c), del codice in materia di protezione dei dati personali, indica agli uffici giudiziari e ai professionisti delegati alle operazioni di vendita la necessita’ di non riportare, oltre che nell’avviso di vendita, nelle copie pubblicate delle ordinanze e delle relazioni di stima l’indicazione delle generalita’ del debitore e di ogni altro dato personale idoneo a rivelare l’identita’ di quest’ultimo e di eventuali soggetti terzi non previsto dalla legge e comunque eccedente e non pertinente rispetto alle procedure di vendita in corso;
b) dispone che copia del presente provvedimento venga inviata al Ministero della giustizia e al Consiglio superiore della magistratura, per opportuna conoscenza in relazione alle rispettive attribuzioni, anche al fine di assicurare l’adozione di ogni idonea iniziativa volta a favorirne la diffusione presso gli uffici giudiziari interessati;
c) ai sensi dell’art. 143, comma 2, del codice, dispone la pubblicazione del medesimo provvedimento nella Gazzetta Ufficiale della Repubblica italiana.

© RIPRODUZIONE RISERVATA

Provvedimento Autorità per la vigilanza sui contratti pubblici 10/1/2008

Redazione

Oggetto

1. Il presente regolamento disciplina la procedura per la soluzione delle controversie di cui all’art. 6, comma 7, lettera n), del decreto legislativo 12 aprile 2006 n. 163.

Soggetti richiedenti

1. La stazione appaltante, una parte interessata ovvero piu’ parti interessate possono, singolarmente o congiuntamente, rivolgere all’Autorita’ istanza di parere relativamente a questioni insorte durante lo svolgimento delle procedure di gara degli appalti pubblici di lavori, servizi e forniture.
2. Possono presentare istanza di parere i seguenti soggetti: la stazione appaltante, in persona del soggetto legittimato ad esprimere all’esterno la volonta’ del richiedente; l’operatore economico, in persona del soggetto legittimato ad esprimere all’esterno la volonta’ del richiedente; soggetti portatori di interessi pubblici o privati, nonche’ portatori di interessi diffusi costituiti in associazioni o comitati, in persona del soggetto legittimato ad esprimere all’esterno la volonta’ del richiedente.

Istanze non ammissibili

1. Si considerano non ammissibili le istanze presentate: su una questione riguardante la fase successiva al provvedimento di aggiudicazione definitiva; nel caso in cui per la fattispecie oggetto dell’istanza e’ stato presentato ricorso innanzi all’autorita’ giudiziaria; in assenza di una controversia insorta fra le parti interessate; da soggetti che non rientrano tra quelli individuati dal precedente art. 2, comma 2.

Presentazione e contenuti dell’istanza

1. L’istanza, da inoltrare secondo il modello presente sul sito dell’Autorita’, puo’ essere trasmessa tramite: fax; raccomandata del servizio postale; per posta elettronica certificata ai sensi della normativa vigente.
2. L’istanza deve obbligatoriamente contenere, pena la non ammissibilita’ della stessa, le seguenti informazioni:
intestazione riportante la seguente dicitura «istanza di parere per la soluzione delle controversie ex art. 6, comma 7, lettera n), del d. Lgs. n. 163/2006»;
indicazione del/i soggetto/i richiedente/i;
eventuale/i soggetto/i controinteressato/i;
qualora intervenuta, data dell’aggiudicazione provvisoria;
eventuale pendenza, per la fattispecie in esame, di un ricorso innanzi all’autorita’ giudiziaria;
oggetto della gara ed importo a base d’asta;
compiuta descrizione della fattispecie cui attiene la controversia;
eventuale richiesta di audizione.
3. L’istanza deve obbligatoriamente contenere, pena la non ammissibilita’ della stessa, la seguente documentazione:
bando di gara;
disciplinare di gara;
capitolato tecnico;
lista delle categorie delle lavorazioni (appalto di lavori);
eventuale provvedimento di esclusione;
corrispondenza intercorsa fra la stazione appaltante e l’operatore economico;
in caso di esclusione, copia dell’eventuale segnalazione del fatto al Casellario informatico;
memoria contenente la definizione della questione sottoposta all’attenzione dell’Autorita’ e rappresentazione delle rispettive posizioni delle parti interessate.
4. Sono del pari non ammissibili le istanze non correttamente compilate e/o non sottoscritte dalla persona fisica legittimata ad esprimere all’esterno la volonta’ del soggetto richiedente.
5. Quando l’istanza e’ formulata dalla stazione appaltante, la stessa deve contenere l’impegno della medesima a non porre in essere atti pregiudizievoli ai fini della risoluzione della questione, fino alla definizione della stessa da parte dell’Autorita’.
Quando, invece, l’istanza e’ presentata da una parte diversa dalla stazione appaltante, con la comunicazione di avvio del procedimento l’Autorita’ formula alla stazione appaltante l’invito a non porre in essere atti pregiudizievoli ai fini della risoluzione della questione, fino alla definizione della stessa da parte dell’Autorita’.

Avvio dell’istruttoria

1. L’Ufficio del precontenzioso apre l’istruttoria rendendo noto l’avvio del procedimento ed il nominativo del relativo responsabile, mediante comunicazione formale da inviarsi entro cinque giorni dal ricevimento dell’istanza al protocollo dell’Autorita’, nei confronti: del/i sottoscrittore/i dell’istanza; del/i controinteressato/i chiaramente identificato/i nell’istanza stessa.
2. La comunicazione di avvio del procedimento contiene l’indicazione della data dell’eventuale audizione di cui al successivo art. 6.
3. L’Ufficio del precontenzioso, ove lo ritenga necessario, con la comunicazione di avvio del procedimento, chiede alle parti interessate ulteriori informazioni e deduzioni sulla questione oggetto dell’istanza, fissando il termine di dieci giorni dalla data di ricezione della comunicazione per la presentazione delle stesse.

Partecipazione all’istruttoria

1. L’Ufficio del precontenzioso valuta, sulla base della documentazione e delle informazioni acquisite, la necessita’ di procedere ad audizione delle parti interessate.
2. L’audizione ha luogo presso l’Ufficio del precontenzioso, con la presenza del dirigente dell’Ufficio Affari giuridici o di un suo delegato.
3. Dell’audizione viene effettuata registrazione vocale, che fa fede di verbale.
4. L’audizione e’ effettuata entro dieci giorni dalla data di avvio del procedimento istruttorio.
5. All’audizione partecipa, in qualita’ di relatore, il responsabile del procedimento e il dirigente dell’Ufficio del precontenzioso.
6. In caso di mancata partecipazione al contraddittorio orale e/o documentale di una delle parti interessate, l’Autorita’ valutera’ la questione sulla base degli elementi di fatto in suo possesso.
7. Se nel corso dell’istruttoria viene presentato ricorso innanzi all’autorita’ giudiziaria, il procedimento viene dichiarato non procedibile.
8. Il responsabile dell’Ufficio del precontenzioso trasmette alla Commissione di cui al successivo art. 7 la relazione istruttoria finale e lo schema di parere, entro il termine di dieci giorni dalla data di ultimazione della fase istruttoria.

Commissione per la soluzione delle controversie

1. E’ istituita la «Commissione per la soluzione delle controversie» composta da due Consiglieri dell’Autorita’, individuati a rotazione, in carica per un periodo di due mesi. Possono essere invitati a partecipare alle riunioni della Commissione i dirigenti dell’Ufficio Affari giuridici e dell’Ufficio del precontenzioso.
2. Fino alla costituzione di detta Commissione, l’Ufficio del precontenzioso trasmette la relazione istruttoria finale e lo schema di parere al Consiglio dell’Autorita’.
3. La Commissione, alla prima adunanza utile, presenta al Consiglio dell’Autorita’ lo schema di parere per la soluzione della controversia, per la relativa approvazione.
4. Il Consiglio dell’Autorita’, qualora non concordi con la soluzione individuata dalla Commissione, adotta il proprio parere per la soluzione della controversia.
5. La decisione sulla questione oggetto della controversia e’ denominata «parere ai sensi dell’art. 6, comma 7, lettera n), del decreto legislativo 12 aprile 2006 n. 163».
6. L’Ufficio del precontenzioso trasmette tempestivamente alle parti interessate la decisione della Commissione.

ISTANZA DI PARERE PER LA SOLUZIONE DELLE CONTROVERSIE EX ARTICOLO 6, COMMA 7, LETTERA N) DEL D. LGS. N. 163/2006

ALL’AUTORITÀ PER LA VIGILANZA
SUI CONTRATTI PUBBLICI DI LAVORI,
SERVIZI E FORNITURE UFFICIO AFFARI GIURIDICI –
SETTORE PRECONTENZIOSO
Via di Ripetta, 246
00186 Roma – Fax 06.36723362

classifica della richiesta (barrare quella di riferimento)

LAVORI
SERVIZI
FORNITURE

1. A) Soggetti richiedenti

1.1 Stazione appaltante ed indicazione del nominativo e della qualifica del soggetto che formula la richiesta (la richiesta di parere deve pervenire dalla persona fisica titolata ad esprimere all’esterno la volontà del soggetto richiedente) ……………………………………………………………………………………………………………………….
1.2 indirizzo………………………………………………………………………………………………
1.3 recapito telefonico……………………………………………………………………………………
1.4 numero fax……………………………………………………………………………………………

1.1.1 denominazione sociale impresa…………………………………………………………………
1.1.2 indirizzo…………………………………………………………………………………………
1.1.3 recapito telefonico……………………………………………………………………………………….
1.1.4 numero fax………………………………………………………………………………………

B) Eventuali controinteressati ………………………………………………………………

2. Pendenza di giudizio: l’istante è tenuto a comunicare se per la fattispecie in esame risulta pendente un ricorso innanzi
all’autorità giudiziaria.
SI
NO

3. Individuazione dell’intervento

3.1 Tipologia appalto
Appalto di lavori pubblici
Appalto di forniture
Appalto di servizi
Contratto misto
Concessione di lavori
Concessione di servizi
Contratti relativi ai settori speciali, come definiti dalla parte III del D.Lgs. 163/06
Contratti esclusi dall’applicazione del D.Lgs. 163/06 (artt.16-27)
Appalto avente ad oggetto la progettazione e l’esecuzione
Project financing
Lavori in economia
Concorso di progettazione
Concorso di idee












3.2 Procedura di scelta del concorrente:
Procedura aperta
Procedura ristretta
Procedura ristretta semplificata
Procedura negoziata con pubblicazione del bando di gara
Procedura negoziata senza pubblicazione del bando di gara
Accordo quadro
Dialogo competitivo
Altro









3.3 Oggetto dell’appalto:
………………………………………………………………………………………………………….……………..
………………………………………………………………………………………………………….……………..
………………………………………………………………………………………………………….……………..
Data di pubblicazione del bando: …./ ….. / …….
Termine ultimo per la presentazione delle offerte: …../ ……/ ……
Importo a base d’asta: …………………………………………………………………………….
Nome del responsabile del procedimento: ……………………………………………………………………………..

3.4 Criterio di aggiudicazione

prezzo più basso
offerta economicamente più vantaggiosa

4. Oggetto della richiesta e rappresentazione delle rispettive posizioni delle parti (da indicare in modo sintetico):
………………………………………………………………………………………………………….……………..
………………………………………………………………………………………………………….……………..
………………………………………………………………………………………………………….……………..

5. Eventuale richiesta di audizione:
SI
NO

6. Elenco dei documenti citati nella presente richiesta ed allegati alla medesima:
6.1 bando di gara/disciplinare
6.2 capitolato speciale
6.3 verbali di gara
6.4 deliberazioni
6.5 altro

7. In caso di istanza presentata dalla S.A. – Dichiarazione di impegno
(detta dichiarazione deve contenere l’impegno della S.A. a non porre in essere atti pregiudizievoli ai fini della risoluzione della questione, fino alla definizione della stessa da parte dell’Autorità):
………………………………………………………………………………………………………….……………..

Data,………………………… Firma di colui che sottoscrive la richiesta. ……………………………

© RIPRODUZIONE RISERVATA


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it