Gazzetta n. 268 del 16 novembre 2012 (vai al sommario)
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
PROVVEDIMENTO 20 settembre 2012
Applicabilita' alle persone giuridiche del Codice in materia di protezione dei dati personali a seguito delle modifiche apportate dal decreto-legge n. 201 del 6 dicembre 2011, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214. (Provvedimento n. 262).


IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;
Visto il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito Codice) ed, in particolare, gli artt. 4, 5, 9 e 43 nonche' l'intero titolo X, capo 1;
Visto il decreto legislativo 1° agosto 2003, n. 259, recante il Codice delle comunicazioni elettroniche;
Vista la direttiva 95/46/CE del 24 ottobre 1995, del Parlamento europeo e del Consiglio, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati;
Visto l'art. 40, secondo comma, del d.l. n. 201 del 6 dicembre 2011, convertito con legge n. 214 del 22 dicembre 2011;
Vista la direttiva 2002/58/CE del 12 luglio 2002, del Parlamento europeo e del Consiglio, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche;
Vista la direttiva 2009/136/CE del 25 novembre 2009, del Parlamento europeo e del Consiglio, recante modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorita' nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori;
Visto il decreto legislativo 28 maggio 2012, n. 69 «Modifiche al decreto legislativo 30 giugno 2003, n. 196, recante codice in materia di protezione dei dati personali in attuazione delle direttive 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, e 2009/140/CE in materia di reti e servizi di comunicazione elettronica e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorita' nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori» (pubblicato nella Gazzetta Ufficiale del 31 maggio 2012, n. 126);
Visto il decreto legislativo 28 maggio 2012 n. 70 «Modifiche al decreto legislativo 1° agosto 2003, n. 259, recante codice delle comunicazioni elettroniche in attuazione delle direttive 2009/140/CE, in materia di reti e servizi di comunicazione elettronica, e 2009/136/CE in materia di trattamento dei dati personali e tutela della vita privata» (pubblicato nella Gazzetta Ufficiale del 31 maggio 2012, n. 126);
Vista la documentazione in atti;
Viste le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del Regolamento del Garante n. 1/2000 del 28 giugno 2000;
Relatore la dott.ssa Augusta Iannini; Premesso
Il presente provvedimento intende fornire indicazioni in relazione alla disciplina di legge applicabile al trattamento dei dati relativi a persone giuridiche, enti e associazioni a seguito della parziale abrogazione, di cui all'art. 40, secondo comma, del d.l. n. 201 del 6 dicembre 2011, convertito con legge n. 214 del 22 dicembre 2011, di alcune delle disposizioni contenute nella parte prima del Codice, recante le "Disposizioni generali". Nel redigerlo sono state, in particolare, tenute in considerazione le numerose istanze (segnalazioni e richieste di pareri) pervenute sull'argomento e volte a sollecitare gli opportuni chiarimenti, anche in via interpretativa, a fronte delle difficolta' operative evidenziate dai titolari di trattamenti di tali dati nonche' di talune lamentate disarmonie riscontrabili nel testo di legge come emendato.
Gli articoli del Codice interessati dalle modifiche in esame disciplinano, rispettivamente, le definizioni (art. 4), l'oggetto e l'ambito di applicazione (art. 5), le modalita' di esercizio dei diritti dell'interessato (art. 9) ed i trasferimenti dei dati verso paesi terzi (art. 43) e fanno ora - com'e' noto - esclusivo riferimento alle persone fisiche e non gia', come prima della modifica, anche a quelle giuridiche, a enti e ad associazioni.
Di qui l'opinione diffusa che il trattamento dei dati relativo alle persone giuridiche, enti ed associazioni sia stato radicalmente escluso dall'ambito di applicazione del Codice. In effetti la direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 relativa alla "tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati" aveva lasciato un ampio margine di manovra agli Stati membri in modo che fosse loro rimessa, in sede di recepimento nazionale, la facolta' di prevedere l'estensione della portata applicativa delle norme in materia di privacy anche alle persone giuridiche ovvero di limitarla esclusivamente ai trattamenti di dati delle sole persone fisiche. Il legislatore italiano del 1996, con scelta confermata anche nel 2003 anche se controcorrente rispetto a quelle effettuate dalla maggior parte degli altri Stati membri, aveva optato - com'e' noto - per la prima soluzione ed incrementato, cosi', sia gli adempimenti che gravano sui titolari del trattamento sia le garanzie e le tutele in favore delle persone giuridiche nella specifica qualifica di interessati.
Oggi, a seguito delle richiamate abrogazioni, per dato personale deve invece intendersi "qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale" e per interessato esclusivamente "la persona fisica cui si riferiscono i dati personali" (cfr., rispettivamente, l'art. 4, comma 1, lett. b) e i) del Codice, nella sua novella formulazione).
In definitiva, la portata applicativa di tutte le disposizioni del Codice che riguardano gli interessati ovvero il trattamento di dati personali e' stata limitata in via esclusiva alle persone fisiche ed ai trattamenti di informazioni personali che vi si riferiscono.
Occorre tuttavia soffermare l'attenzione sulle norme contenute nella parte speciale del Codice, segnatamente nel suo titolo X ("Comunicazioni elettroniche"), di diretta derivazione comunitaria poiche' emanato in attuazione della richiamata direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e di recente integrato e modificato dal d. lgs. 28 maggio 2012, n. 69; con ulteriore, specifico riguardo al suo capo 1, che interessa i "Servizi di comunicazione elettronica". Cio' al fine di valutare se, all'esito delle richiamate modifiche alla disciplina di legge, le persone giuridiche siano, al pari di quelle fisiche, tuttora ricomprese o meno nel campo di applicazione di tali disposizioni.
E' opportuno sottolineare che la norma di apertura del capo in esame, e cioe' l'art. 121, che individua l'ambito di applicazione delle regole relative ai servizi di comunicazione elettronica e non risulta interessato dalla riforma, fa esplicito riferimento al trattamento di dati personali (testualmente: "Le disposizioni del presente titolo si applicano al trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazioni"); quelli cioe' che possono ora riferirsi soltanto alle persone fisiche, secondo la novella definizione di dato personale di cui all'art. 4, comma 1, lett. b) del Codice, sopra riprodotta.
Questa considerazione, che ad un primo esame parrebbe dunque orientare per l'esclusione delle persone giuridiche anche dall'ambito applicativo dell'intero capo, deve essere tuttavia integrata dall'esame di ulteriori elementi. Ci si riferisce al fatto che, nonostante la definizione di interessato non ricomprenda piu' le persone giuridiche e l'art. 121 - lo si e' visto - menzioni esplicitamente i "dati personali", la quasi totalita' delle altre disposizioni contenute nel richiamato capo 1 del titolo X del Codice sono rivolte a destinatari individuati non in funzione della loro qualifica soggettiva (se, cioe', persone fisiche ovvero giuridiche), bensi' di una qualifica ulteriore che ne prescinde: segnatamente, quella di "contraente", termine che, proprio a seguito dell'entrata in vigore del d.lgs. n. 69/2012, a far data dal 1° giugno 2012 ha sostituito, nelle disposizioni del Codice, quello di "abbonato", utilizzato in precedenza.
Il concetto di "abbonato", e dunque ora di "contraente", e' certamente applicabile, anche sulla base di principi comunitari, tanto alle persone fisiche quanto a quelle giuridiche: in tal senso, cfr. il considerando 12 della menzionata direttiva 2002/58/CE, secondo il quale "gli abbonati ad un servizio di comunicazione elettronica accessibile al pubblico possono essere persone fisiche o persone giuridiche".
Tra l'altro la definizione di "abbonato" (ora "contraente"), sebbene rilevante per il diritto alla protezione dei dati, e' in effetti mutuata da altri settori (innanzitutto quello delle comunicazioni elettroniche), oltre che di evidente, prevalente origine contrattuale.
Si menziona, al riguardo, l'art. 1, comma 1, lett. a) del d. lgs. 1 agosto 2003, n. 259 (c.d. Codice delle comunicazioni elettroniche), che riconosce la relativa qualifica a "la persona fisica o giuridica che sia parte di un contratto con il fornitore di servizi di comunicazione elettronica accessibili al pubblico, per la fornitura di tali servizi".
Il d.l. n. 201/2011 non ha allora in alcun modo interessato - ne' avrebbe potuto - tale nozione, rimasta appunto intatta nella formulazione di cui all'art. 4, comma 2, lett. f) del Codice: "qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate".
Questa preliminare interpretazione letterale e' confermata dalla circostanza, desumibile a contrario, che qualora il legislatore avesse inteso stralciare le persone giuridiche anche dal campo di applicazione del capo 1 del titolo X del Codice, si sarebbe limitato a sostituire la dizione di "abbonato" (ora "contraente") con quella di "utente" la quale, anche in ragione della definizione che ne viene resa, e' ovviamente applicabile soltanto alle persone fisiche. (Testualmente: "qualsiasi persona fisica che utilizza un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata", art. 4, comma 1, lett. g) del Codice).
Conforta questo convincimento un ulteriore elemento, tratto dall'analisi del Dossier di documentazione, dell'8 dicembre 2011, predisposto dal Servizio Studi della Camera dei deputati a corredo del menzionato d.l. 201/2011. Vi si chiarisce come, a fronte delle abrogazioni gia' esaminate e relative agli interessati-persone giuridiche, "non viene invece modificata la definizione di "abbonato" [ora "contraente"], che continua ad essere riferita sia alle persone fisiche che alle persone giuridiche, enti o associazioni (...)". Questi ultimi soggetti "continueranno pertanto a fruire della tutela prevista dal titolo X del codice della privacy per gli abbonati a servizi di comunicazione elettronica".
In realta' anche il ricorso a criteri interpretativi di carattere sistematico rende conto del fatto che il legislatore ha inteso assicurare prevalenza all'applicazione di tutte quelle norme, di carattere speciale, che assumono come presupposto il trattamento di dati dell'"abbonato" (ora "contraente").
Tanto piu' se si considera il principio del c.d. obbligo di interpretazione conforme, che impone la lettura del diritto interno nazionale nel senso piu' aderente possibile a quello comunitario, specie avuto riguardo alle considerazioni gia' svolte in merito alle menzionate direttive in materia di comunicazioni elettroniche delle quali - lo si ripete - il titolo X del Codice costituisce attuazione.
L'interpretazione che si prospetta riceve ulteriore supporto dalla disamina dell'art. 130 del Codice, rubricato "Comunicazioni indesiderate". Anche tale norma e' stata infatti oggetto di recenti, significative modifiche ad opera del d. lgs. n. 69/2012, le quali appaiono rilevanti pure per gli aspetti che qui interessano.
In effetti nella sua formulazione precedente l'articolo in esame poneva, ai commi 1 e 2, le regole per l'effettuazione delle comunicazioni promozionali inoltrate con sistemi automatizzati di chiamata oppure per il tramite di strumenti di posta elettronica, telefax, sms o mms e le riferiva esplicitamente all'"interessato"; con l'effetto che tali previsioni risultavano applicabili soltanto ai trattamenti di dati personali delle persone fisiche e non anche di quelle giuridiche, rendendo queste ultime, di conseguenza, liberamente contattabili per finalita' promozionali con le descritte modalita'.
Il medesimo art. 130, ai commi 3-bis, 3-ter e 3-quater relativi all'istituzione e al funzionamento del Registro pubblico delle opposizioni, era invece, anche prima dell'entrata in vigore del d. lgs. n. 69/2012, gia' pienamente applicabile alle persone giuridiche, in virtu' del richiamo in esso contenuto all'art. 129 che disciplina l'inserimento e l'utilizzo negli elenchi telefonici dei dati degli abbonati (ora "contraenti"). In altre parole, le chiamate promozionali con intervento dell'operatore e - de iure condendo ed in attesa che venga emanato il relativo regolamento di attuazione che disciplinera' l'estensione anche al marketing postale delle regole sul Registro delle opposizioni - le comunicazioni pubblicitarie cartacee per la cui effettuazione ci si avvalga di dati, di persone fisiche ovvero giuridiche, tratti dagli elenchi telefonici, gia' erano - e continuano ad essere - assoggettate al regime dell'opt-out, nelle forme e nei modi previsti per il funzionamento del Registro delle opposizioni.
L'assetto normativo precedente la riforma, come illustrato, da un lato dunque consentiva liberamente i contatti promozionali verso persone giuridiche effettuati con mezzi particolarmente invasivi (quelli di cui ai commi 1 e 2 dell'art. 130); dall'altro subordinava, tuttavia, le telefonate commerciali con operatore (e, de iure condendo, l'invio di comunicazioni pubblicitarie cartacee) al preventivo, oneroso riscontro con il Registro delle opposizioni, dunque al mancato esercizio dell'opt-out da parte dell'abbonato; e cio' nonostante il telemarketing effettuato per il tramite di un operatore rivesta indubbiamente carattere di minor afflittivita' per l'interessato rispetto ai contatti che si avvalgono di modalita' automatizzate quali chiamate preregistrate, fax, sms, mms, messaggi di posta elettronica etc.
A tale manifesta incongruenza il legislatore ha ovviato con un intervento di armonizzazione: in effetti l'art. 1, comma 7, lett. a), n. 3 del citato d. lgs. 69/2012 ha opportunamente eliminato, dall'art. 130 del Codice, il termine "interessato", sostituendolo con quello di "contraente o utente"; cio' che ha reso pertanto applicabili quelle previsioni anche alle persone giuridiche. La modifica voluta dal legislatore costituisce allora esplicita conferma dell'interpretazione, gia' illustrata, per la quale le persone giuridiche devono senz'altro essere annoverate, al pari di quelle fisiche, tra i soggetti destinatari delle previsioni di cui al titolo X, capo 1 del Codice, con la sola eccezione dell'art. 132-bis, anch'esso introdotto dal d. lgs. n. 69/2012, che pone a carico dei fornitori di servizi di comunicazione elettronica l'obbligo di istituire apposite procedure "per corrispondere alle richieste effettuate in conformita' alle disposizioni che prevedono forme di accesso a dati personali degli utenti" (e dunque delle sole persone fisiche).
La prospettata ricostruzione, se da un lato contribuisce a delineare piu' chiaramente, innanzitutto in via interpretativa, il quadro di adempimenti e tutele previsti nel settore delle comunicazioni elettroniche riconducendo all'interno del relativo campo di applicazione anche i contraenti-persone giuridiche, dall'altro lascia, tuttavia, inalterato un impianto normativo complesso e di non agevole lettura. Il sistema e' in effetti tuttora connotato dal permanere di alcune delle menzionate difficolta' operative che gravano sui titolari del trattamento e di talune disarmonie indotte dal mancato coordinamento tra le disposizioni preesistenti e le modifiche che si sono via via succedute, specie in cosi' rapida e recente successione.
Si segnala, ad esempio, tra gli effetti piu' immediati di tale fenomeno, quello che riguarda la previsione di cui all'art. 141 del Codice. Tale norma, disciplinando le forme di tutela dinanzi al Garante, consente infatti testualmente ai soli "interessati", dunque soltanto alle persone fisiche, di farvi ricorso.
In termini piu' concreti, e fermi restando i poteri di iniziativa e di impulso ex officio del Garante, le persone giuridiche, gli enti e le associazioni, a far data dal 6 dicembre 2011, non sono piu' legittimati a proporre segnalazioni, reclami e ricorsi dinanzi all'Autorita' dovendo avvalersi, se del caso, degli ordinari strumenti di tutela apprestati dall'ordinamento, ivi compreso - qualora ne ricorrano i presupposti - il ricorso all'autorita' giudiziaria di cui all'art. 152 del Codice; con l'effetto che tale significativa limitazione interessa anche i "contraenti", pur nell'accezione, gia' illustrata, che ricomprende in tale nozione tanto le persone fisiche quanto le giuridiche. Ed e' certamente singolare che l'ordinamento attribuisca, da un lato, ai soggetti cosi' identificati la dovuta tutela di cui alle disposizioni del titolo X, capo 1, del Codice; dall'altro, neghi loro la possibilita' di far ricorso agli strumenti (segnalazioni, reclami e ricorsi) mediante i quali far valere i propri diritti dinanzi all'Autorita'. Con un ulteriore riflesso: all'applicabilita' alle persone giuridiche delle norme relative ai "contraenti" consegue anche la pari applicabilita', ai titolari del trattamento che abbiano agito in loro violazione, delle sanzioni, di carattere sia amministrativo sia penale, previste dal Codice. Basti pensare, ad esempio, alle disposizioni di cui agli artt. 162, commi 2-bis e 2-quater, 162-bis e 167. Induce, allora, motivate perplessita' il fatto che, a fronte di questa circostanza, sia comunque precluso alla persona giuridica oggetto di illeciti di rivolgersi all'Autorita' invocandone la tutela amministrativa ai sensi del richiamato art. 141.
E ancora: l'art. 15 del Codice sui danni cagionati per effetto del trattamento nella sua attuale, immutata formulazione, risulta applicabile esclusivamente ai danni cagionati "per effetto del trattamento di dati personali", cioe' delle informazioni relative alle persone fisiche e non anche a quelle giuridiche (se pure nella limitata, specifica accezione di "contraenti"). Vero e' che queste ultime potrebbero eventualmente trovare soddisfazione alle proprie pretese risarcitorie azionando gli ordinari rimedi giurisdizionali dinanzi all'Autorita' giudiziaria (ad es. ex art. 2043 cod. civ.), ma in tal caso verrebbero private del favor indotto dalla previsione dell'inversione dell'onere della prova disciplinata proprio dall'art. 15 del Codice per il tramite del richiamo esplicito all'art. 2050 cod. civ.
Ma dove il sistema attuale mostra con maggior evidenza le denunciate carenze di coordinamento e' con riguardo all'eventualita' nella quale i dati delle persone giuridiche, enti o associazioni da utilizzare per finalita' commerciali, anziche' dagli elenchi telefonici (come previsto dalla fattispecie di cui all'art. 130, commi 3-bis ss. del Codice), siano invece reperiti altrove (ad esempio tratti da siti internet o da albi, atti o documenti pubblici etc.). Al ricorrere di tale ipotesi, anche la telefonata promozionale con operatore e, in prospettiva, la comunicazione pubblicitaria cartacea potrebbero risultare estranee al sistema di adempimenti e garanzie previsti dal Codice e quindi, nei confronti di tali specifici trattamenti, i soggetti cui i dati si riferiscono resterebbero privi di ogni pur minima tutela.
Cio' in quanto il trattamento dei dati che costituisce presupposto di quei contatti promozionali, se effettuato nei confronti di persone giuridiche, enti o associazioni, non risulta piu' soggetto agli obblighi di preventivo rilascio dell'informativa ed acquisizione del consenso. Manca, in effetti, la possibilita' di ricondurlo alla disciplina generale di cui agli artt. 23 e 24 del Codice, testualmente applicabili esclusivamente agli interessati (cioe', ora, alle persone fisiche).
Si ritiene, in definitiva, che le problematiche evidenziate rendano opportuna un'ulteriore valutazione da parte del Parlamento e del Governo tesa alla verifica dei presupposti per l'adozione degli eventuali provvedimenti di competenza.

Tutto cio' premesso
il garante ai sensi dell'art. 154, comma 1, lett. b) ed h) del Codice, ritiene che, a seguito della modifiche apportate al Codice dall'art. 40, secondo comma, del d.l. n. 201/2011, continui a trovare applicazione anche alle persone giuridiche, enti ed associazioni il capo 1 del titolo X del Codice, rectius le disposizioni ivi contenute che riguardano i "contraenti", a prescindere dal loro essere persone fisiche ovvero giuridiche, enti ed associazioni.
Si dispone la trasmissione di copia del presente provvedimento al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 20 settembre 2012

Il presidente: Soro
Il relatore: Iannini
Il segretario generale: Busia
 
Gazzetta Ufficiale Serie Generale per iPhone