Aggiornato al 27/06/2014
Nel periodo di riferimento considerato (Marzo 2014-Giugno 2014), Il Garante per la protezione dei dati personali ha adottato tre provvedimenti prescrittivi di carattere generale[1] (1. il provvedimento in materia di trattamento di dati presso i partiti politici e di esonero dall’informativa per fini di propaganda elettorale; 2. il provvedimento recante l’individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie; 3. il provvedimento generale in materia di trattamento dei dati personali nell’ambito dei servizi di mobile remote payment) e un provvedimento generale nella veste di Linee guida[2] (4. le Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati).
1) Con il «Provvedimento in materia di trattamento di dati presso i partiti politici e di esonero dall’informativa per fini di propaganda elettorale» del 6 marzo 2014[3] si è inteso fissare le regole per partiti e movimenti politici sull’uso dei dati personali.
Non è la prima volta che il Garante interviene sul tema, ma stavolta la novità consiste in una trattazione organica dell’argomento riferita in generale al trattamento dei dati personali presso partiti e movimenti politici, non limitato alla sola fase dell’utilizzo dei dati in occasione delle consultazioni elettorali o referendarie[4].
In merito, l’Autorità ha evidenziato come «l’attività delle formazioni politiche si indirizza non solo a soggetti con i quali intrattengono rapporti stabili e strutturati – come nel caso degli aderenti – ma anche nei confronti di persone che vengono contattate in vista di consultazioni politiche, amministrative e referendarie, o a fini di selezione dei candidati (cd. “primarie”), senza instaurare con esse relazioni durature e regolari (es. simpatizzanti); ciò, con riferimento non solo a partiti e movimenti politici, ma anche a comitati di promotori e sostenitori, nonché singoli candidati che, nello svolgimento di campagne elettorali o referendarie, utilizzano numerosi dati personali per l’inoltro di messaggi di propaganda elettorale e connessa comunicazione politica al fine di rappresentare ai cittadini le proprie posizioni»[5].
Considerando che i dati personali trattati possono essere anche di natura sensibile, nella specie di dati idonei a rivelare le «opinioni politiche»[6], il fine è stato, fra l’altro, quello di predisporre, nell’ottica della semplificazione, una serie di regole atte ad assicurare «l’integrale comprensione delle caratteristiche del trattamento ed il diritto all’autodeterminazione informativa», allo scopo di «consentire agli interessati di orientare le proprie scelte esprimendo, nei casi previsti, un consenso libero e pienamente consapevole in ordine al trattamento dei propri dati personali (artt. 23 e ss. del Codice) e, comunque, l’esercizio dei diritti di cui all’art. 7 del Codice»[7].
Nello specifico, il Garante ha fornito una serie di indicazioni aventi a oggetto, in primo luogo, i dati dei soggetti «aderenti» o con cui il partito o il movimento «intrattengono contatti regolari», specificando che, fermo restando l’obbligo di fornire l’«informativa» sul trattamento dei dati personali[8], è possibile un trattamento senza il consenso dei soggetti interessati – ai sensi dell’art. 26, comma 4, lett. a, del d. lgs. n. 196/2003 e dell’autorizzazione del Garante n. 3/2013 al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni – a condizione che si agisca «nell’ambito di attività strettamente funzionali al perseguimento delle […] finalità istitutive o statutarie (ancorché tra queste non espressamente indicate)» di partiti e movimenti politici.
Non è, comunque, possibile comunicare o diffondere (con ogni mezzo compreso internet) i predetti dati senza il consenso scritto degli interessati[9]. Di conseguenza, come specificato nel provvedimento, è illecita la eventuale «comunicazione dei dati ad altri partiti o movimenti politici appartenenti a una medesima coalizione» ed è necessario il consenso degli interessati per «l’eventuale comunicazione a terzi da parte di comitati di promotori e sostenitori, dei dati degli aderenti e degli altri soggetti che con essi intrattengono contatti regolari raccolti e trattati nel perseguimento delle proprie finalità istitutive».
Con riferimento, invece, al trattamento dei dati personali dei cc.dd. simpatizzanti o di soggetti contattati in occasione di singole iniziative (petizioni, proposte di legge, richieste di referendum, raccolte di firme o di fondi, etc.) o di sovventori, è necessario richiedere il consenso scritto degli interessati e specificare chiaramente nell’informativa rilasciata all’atto del conferimento dei dati le finalità perseguite. Fa eccezione a tale regola il caso in cui il sostegno fornito dal soggetto interessato «ad una determinata iniziativa in occasione del conferimento dei dati comporti una particolare forma di “adesione” al soggetto politico», per cui, «in base allo statuto, all’atto costitutivo o ad altro preesistente complesso di regole», lo stesso «potrà essere successivamente contattato in vista di ulteriori iniziative compatibili con gli scopi originari della raccolta (per es. di comunicazione politica o propaganda elettorale: art. 11, comma 1, lett. b, del Codice)», sempre che sia stato previamente e chiaramente informato di tali circostanze.
In relazione ai dati utilizzabili per la campagna elettorale, come già stabilito nei precedenti provvedimenti[10], il Garante conferma la possibilità di utilizzare senza consenso i dati personali estratti da alcune fonti rese «accessibili in base ad un’espressa disposizione di legge o di regolamento», come «le liste elettorali detenute presso i comuni»[11], «l’elenco degli elettori italiani che votano all’estero per le elezioni del Parlamento europeo»[12], «le liste aggiunte dei cittadini elettori di uno Stato membro dell’Unione europea residenti in Italia e che intendano esercitare il diritto di voto alle elezioni del Parlamento europeo»[13], «l’elenco provvisorio dei cittadini italiani residenti all’estero aventi diritto al voto»[14]; «l’elenco provvisorio dei cittadini italiani residenti all’estero aventi diritto al voto per l’elezione del Comitato degli italiani all’estero» (Comites)[15].
In tali casi, il Garante ha esonerato partiti, movimenti politici, comitati di promotori e sostenitori, nonché singoli candidati, dall’obbligo di rendere l’informativa di cui all’art. 13 del d. lgs. n. 196/2003 «a partire dal sessantesimo giorno precedente la data delle consultazioni fino al sessantesimo giorno successivo al termine delle stesse (o dell’eventuale ballottaggio), a condizione che nel materiale inviato sia chiaramente indicato un recapito (indirizzo postale, e-mail, eventualmente anche con rinvio a un sito web dove tali riferimenti siano facilmente individuabili) al quale l’interessato possa agevolmente rivolgersi per esercitare i diritti di cui all’art. 7 del Codice [i.e. d. lgs. n. 193/2003]».
Nel corso dei predetti sessanta giorni successivi alle consultazioni o al ballottaggio, è possibile continuare a trattare i dati personali solo per finalità di comunicazione politica. Scaduto tale termine, è necessario fornire l’informativa oppure cancellare o distruggere i dati.
Resta, inoltre, confermato che, in assenza del consenso, non possono mai essere utilizzati per propaganda elettorale – ad esempio per l’invio di sms, e-mail, mms, telefonate preregistrate, fax o lettere – i dati personali contenuti nelle anagrafi della popolazione residente, negli archivi dello stato civile, negli schedari dei cittadini residenti nella circoscrizione presso ogni ufficio consolare, nelle «liste elettorali di sezione già utilizzate nei seggi, sulle quali sono annotati dati relativi ai non votanti», nei «dati annotati nei seggi da scrutatori e rappresentanti di lista per lo svolgimento delle operazioni elettorali», nei «dati raccolti dai soggetti pubblici nello svolgimento delle proprie attività istituzionali o, in generale, per la prestazione di servizi», negli «elenchi di iscritti ad albi e collegi professionali», negli «indirizzi di posta elettronica tratti dall’Indice nazionale degli indirizzi pec delle imprese e dei professionisti», nei «dati resi pubblici alla luce della disciplina in materia di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni».
Non è possibile, inoltre, utilizzare per finalità di propaganda elettorale e comunicazione politica, senza consenso, i dati tratti dagli elenchi telefonici e reperibili su Internet come i «dati raccolti automaticamente in Internet tramite appositi software», le «liste di abbonati ad un provider», i «dati pubblicati su siti web per specifiche finalità di informazione aziendale, comunicazione commerciale o attività associativa», i «dati ricavati da social network, forum o newsgroup», i «dati consultabili in Internet solo per le finalità di applicazione della disciplina sulla registrazione dei nomi a dominio».
2) Con il Provvedimento recante l’«individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie» dell’8 maggio 2014[16], il Garante è nuovamente intervenuto sulla delicata questione della profilazione degli utenti che navigano sul web[17] anche alla luce della normativa europea e dei documenti approvati dal Gruppo ex art. 29[18].
Come noto, l’attività di analisi ed elaborazione dei dati e delle informazioni dei navigatori telematici, al fine di ricavarne profili degli utenti, è una pratica abbastanza comune soprattutto a scopo di marketing.
Una delle modalità con cui è possibile carpire informazioni sugli soggetti connessi a Internet è quella dell’utilizzo di cookie, ossia di particolari file di testo[19] che, una volta memorizzati sui personal computer, sono poi in grado di tracciare le sessioni e memorizzare specifiche informazioni degli utenti[20].
In merito, l’art. 122 del d. lgs. n. 196/2003[21] sancisce che l’«archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all’articolo 13, comma 3». La medesima disposizione precisa che rimane comunque ferma la possibilità di una «eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio» e che è, comunque, «vietato l’uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell’apparecchio terminale di un contraente o di un utente, per archiviare informazioni o per monitorare le operazioni dell’utente».
Alla luce del quadro normativo richiamato, il Garante, ricordando l’obbligo di richiedere comunque il consenso del soggetto interessato, ha precisato che «nel momento in cui si accede alla home page (o ad altra pagina) di un sito web, deve immediatamente comparire in primo piano un banner» con cui si avverte «che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete» e «che il sito consente anche l’invio di cookie “terze parti” (laddove ciò ovviamente accada)». L’Autorità di protezione dei dati personali ha, inoltre, indicato che il predetto banner debba contenere «il link all’informativa estesa, ove vengono fornite indicazioni sull’uso dei cookie tecnici e analytics» (dando «la possibilità di scegliere quali specifici cookie autorizzare») e deve indicare «che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie», nonché «che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie».
Resta fermo che nel caso in cui l’utilizzo dei cookie è «finalizzato a “definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti”» è necessario, comunque, provvedere alla notifica del trattamento al Garante ai sensi dell’art. 37, comma 1, lett. d, del d. lgs. n. 196/2003.
3) Con il «Provvedimento generale in materia di trattamento dei dati personali nell’ambito dei servizi di mobile remote payment» del 22 maggio 2014[22] il Garante è intervenuto per assicurare una migliore garanzia dei diritti degli utenti che in futuro vorranno effettuare tramite strumenti elettronici (smartphone, tablet, personal computer, etc.) pagamenti o trasferimenti di denaro.
In merito, è stato evidenziato che, con tale tipo di servizi, possono essere trattate informazioni dell’utente di natura molto diversa fra loro, non solo «i dati relativi alla numerazione telefonica, i dati anagrafici, i dati legati alla tipologia del servizio o del prodotto digitale richiesto ed al relativo importo», oppure «i dati inerenti alla sottoscrizione ed alla revoca del servizio, quelli relativi agli addebiti degli acquisti nella fattura o sulla carta prepagata e, eventualmente, quelli di posta elettronica richiesti per una maggiore fruibilità del contenuto digitale, nonché l’indirizzo IP dell’utente», ma anche potenzialmente dati sensibili[23] «legati alla fruizione del contenuto o del servizio digitale».
Pertanto, sono stati prescritti precisi oneri a carico dei diversi soggetti che nell’erogazione dei servizi di mobile remote payment trattano dati personali (l’operatore[24], il soggetto aggregatore[25] e il merchant[26]).
In generale, ai soli fini della fornitura del servizio di mobile remote payment, i predetti soggetti non sono tenuti a chiedere il consenso al trattamento dei dati personali dell’utente[27]. In merito, il Garante ha, però, precisato che rimane, comune, necessario chiedere il consenso tutte le volte in cui i «dati forniti» dall’utente «riferibili agli acquisti effettuati» vengono poi «utilizzati per finalità di marketing diretto e/o per finalità di profilazione, anche nell’ambito di eventuali programmi di fidelizzazione», oppure nel caso in cui si desideri comunicare i dati a soggetti terzi.
È stato, inoltre, prescritto che operatori, aggregatori e venditori debbano rendere un’informativa chiara e completa degli elementi di cui all’art. 13 del d. lgs. n. 196/2003, che specifichi le modalità di trattamento effettuato.
Fermi restando gli obblighi in materia di misure di sicurezza, i dati degli utenti possono essere in generale conservati per un limite massimo di sei mesi.
Si è evidenziato, altresì, che siccome «i fornitori di reti e servizi di comunicazione elettronica accessibili al pubblico, oltre a trattare i dati relativi alle operazioni di mobile remote payment ed alle scelte di consumo dei contenuti digitali, trattano anche dati di consumo/traffico telefonico e dati relativi alla fornitura di altre tipologie di beni digitali (quali ad esempio quelli legati alla c.d. Tv interattiva) per finalità di profilazione e marketing», è necessario che, «al fine di impedire un’eventuale profilazione incrociata dell’utenza», debbano «essere individuati appositi “meccanismi di rotazione” che consentano di applicare allo stesso utente chiavi di codifica differenti, destinate a mascherare i relativi dati all’interno dei diversi sistemi dedicati alle attività di profilazione che l’operatore può svolgere».
Restano fermi gli obblighi di notifica del trattamento al Garante, laddove ricorrano i presupposti dell’art. 37 del d. lgs. n. 196/2003 e la necessità di presentare una richiesta di verifica preliminare al Garante ai sensi dell’art. 17 del d. lgs. n. 196/2013 «per ulteriori, specifici, trattamenti ed eventuali misure ed accorgimenti, previsti nell’ambito delle operazioni di mobile remote payment diversamente da quanto individuato» nel provvedimento stesso, «indicando nel dettaglio i trattamenti da effettuare, specificando le relative finalità nonché le tipologie di dati che si intenda utilizzare».
4) Con il provvedimento generale recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati»[28] il Garante è intervenuto per fornire alle pubbliche amministrazioni precise indicazioni per il corretto adempimento degli obblighi in materia di trasparenza e pubblicità online al fine di garantire il diritto alla tutela dei dati personali[29].
Tale intervento è stato ritenuto necessario soprattutto a seguito dell’approvazione del d. lgs. 14/3/2013 n. 33 recante il «Riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni».
Con le nuove delle Linee guida del 2014, che sostituiscono le precedenti Linee guida in materia[30], si precisa innanzitutto che le disposizioni previste dal predetto d. lgs. n. 33/2013 si applicano solo agli obblighi di pubblicazione online di dati per finalità di “trasparenza” (ossia oltre agli obblighi indicati nel d. lgs. n. 33/2013, anche a quelli contenuti «nella normativa vigente in materia avente a oggetto le “informazioni concernenti l’organizzazione e l’attività delle pubbliche amministrazioni, allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche”».
Per altri obblighi di pubblicazione, come quelli riguardanti gli «obblighi di pubblicità online di dati, informazioni e documenti della p.a. – contenuti in specifiche disposizioni di settore diverse da quelle approvate in materia di trasparenza – come, fra l’altro, quelli volti a far conoscere l’azione amministrativa in relazione al rispetto dei principi di legittimità e correttezza, o quelli atti a garantire la pubblicità legale degli atti amministrativi (es.: pubblicità integrativa dell’efficacia, dichiarativa, notizia)»[31], la diffusione di dati personali segue lo statuto giuridico della specifica normativa di settore e delle indicazioni contenute nella parte seconda delle Linee guida.
In sintesi, l’Autorità ricorda che i soggetti pubblici che desiderano mettere online propri atti, documenti, informazioni e dati devono verificare preliminarmente che esista una norma di legge o di regolamento che ne ammetta la diffusione (art. 19, comma 3, del d. lgs. n. 196/2003).
È, inoltre, sempre necessario rispettare i principi di necessità, pertinenza e non eccedenza, nonché di indispensabilità per i dati sensibili, nella diffusione dei dati online. È sempre vietato, invece, diffondere dati idonei a rivelare lo stato di salute (art. 22, comma 8, del d. lgs. n. 196/2003), ossia «qualsiasi informazione da cui si possa desumere lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici»[32].
La pubblicazione di dati ulteriori, che le pp.aa. non hanno l’obbligo di pubblicare, è legittima a condizione che le stesse provvedano ad anonimizzare i documenti che intendono rendere visibili sui propri siti web istituzionali.
La circostanza che i dati personali pubblicati online siano liberamente accessibili, non comporta la possibilità da parte di chiunque di riutilizzarli indiscriminatamente e per qualsiasi finalità[33]. È, infatti, precisato che «in attuazione del principio di finalità di cui all’art. 11 del Codice, il riutilizzo dei dati personali conoscibili da chiunque sulla base delle previsioni del d. lgs. n. 33/2013 non può essere consentito “in termini incompatibili” con gli scopi originari per i quali i medesimi dati sono resi accessibili pubblicamente (art. 7 del d. lgs. n. 33/2013, art. 6, comma 1, lett. b, direttiva 95/46/CE; art. 11, comma 1, lett. b, del Codice)»[34].
Inoltre, il reperimento dei dati personali sul web attraverso motori di ricerca generalisti (come Google), è ammesso unicamente per i casi tassativi di pubblicazione di dati e informazioni per finalità di trasparenza ai sensi dell’art. 9 del d. lgs. n. 33/2013, fermo restando il divieto di indicizzazione dei dati sensibili e giudiziari. Negli altri casi (es. pubblicazioni matrimoniali, albo pretorio etc.) è evidenziata l’opportunità per le pp.aa. di evitare l’indicizzazione nei motori generalisti e di preferire forme di reperibilità limitate ai motori di ricerca interni dei singoli siti web.
Quanto ai tempi di pubblicazione, il Garante conferma che per i dati pubblicati per esclusiva finalità di trasparenza «il periodo di mantenimento di dati, informazioni e documenti sul web coincide in linea di massima con il termine di cinque anni», ma che «che laddove atti, documenti e informazioni, oggetto di pubblicazione obbligatoria per finalità di trasparenza, contengano dati personali, questi ultimi devono essere oscurati, anche prima del termine di cinque anni, quando sono stati raggiunti gli scopi per i quali essi sono stati resi pubblici e gli atti stessi hanno prodotto i loro effetti».
Invece, nelle ipotesi di pubblicazione di atti e documenti online, per finalità diverse da quelle di trasparenza, prima richiamati, i «soggetti pubblici sono tenuti ad assicurare il rispetto delle specifiche disposizioni di settore che individuano circoscritti periodi di tempo per la pubblicazione di atti e provvedimenti amministrativi contenenti dati personali» (ad esempio quindici giorni per la pubblicazione delle deliberazioni all’albo pretorio degli enti locali). Se, invece, «la disciplina di settore non stabilisce un limite temporale alla pubblicazione degli atti, vanno individuati – a cura delle amministrazioni pubbliche titolari del trattamento – congrui periodi di tempo entro i quali mantenerli online», ma questo «lasso di tempo non può essere superiore al periodo ritenuto, caso per caso, necessario al raggiungimento degli scopi per i quali i dati personali stessi sono resi pubblici».
[1] Sulla portata giuridica di tale tipologia di provvedimenti si rinvia alle considerazioni già svolte, e alla bibliografia ivi citata, nel precedente Osservatorio M. Viggiano, Osservatorio Garante per la protezione dei dati personali (fasc. 1/2014), in https://www.osservatoriosullefonti.it/rubriche/autorita-amministrative-indipendenti/899-garante-per-la-protezione-dei-dati-personali-12014.
[2] Si tratta, in questo caso, di una particolare tipologia di provvedimenti generali adottato ai sensi dell’art. 154, lett. h, del d. lgs. del 30 giugno 2003 n. 196 (recante il «Codice in materia di protezione dei dati personali»), al fine di «curare la conoscenza tra il pubblico della disciplina rilevante in materia di trattamento dei dati personali e delle relative finalità, nonché delle misure di sicurezza dei dati».
[4] Cfr. i provvedimenti del 12 febbraio 2004, in G.U. del 24 febbraio 2004, n. 45 e in www.gpdp.it, doc. web n. 634369; del 3 marzo 2005, in G.U. n. 64 del 18 marzo 2005 e in www.gpdp.it, doc. web n. 1107658; del 7 settembre 2005, in G.U. del 12 settembre 2005, n. 212 e in www.gpdp.it, doc. web n. 1165613; del 3 maggio 2007, in G.U. n. 130 del 7 giugno 2007 e in www.gpdp.it, doc. web n. 1409206; del 28 febbraio 2008, in G.U. n. 58 dell’8 marzo 2008 e in www.gpdp.it, doc. web n. 1493909; del 2 aprile 2009, in G.U. n. 85 dell’11 aprile 2009 e in www.gpdp.it, doc. web n. 1603863; dell’11 febbraio 2010, in G.U. n. 43 del 22 febbraio 2010 e in www.gpdp.it, doc. web n. 1694531; del 7 aprile 2011, in G.U. n. 87 del 15 aprile 2011 e in www.gpdp.it, doc. web n. 1804225; del 5 aprile 2012, in G.U. n. 89 del 16 aprile 2012 e in www.gpdp.it, doc. web n. 1885765; del 10 gennaio 2013, in G.U. n. 11 del 14 gennaio 2013 e in www.gpdp.it, doc. web n. 2181429; del 24 aprile 2013, in G.U. n. 107 del 9 maggio 2013 e in www.gpdp.it, doc. web n. 2404305.
[8] Cfr. art. 13 del d. lgs. n. 196/2003 che testualmente dispone «L’interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa: a) le finalità e le modalità del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi; e) i diritti di cui all’articolo 7; f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell’articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l’elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all’interessato in caso di esercizio dei diritti di cui all’articolo 7, è indicato tale responsabile».
[9] Cfr. art. 26, comma 4, lett. a, del d. lgs. n. 196/2003 citato e cfr. anche parr. 2, 5 e 7 dell’autorizzazione n. 3/2013, cit.
[11] Tali liste, infatti, «possono essere rilasciate in copia per finalità di applicazione della disciplina in materia di elettorato attivo e passivo, di studio, di ricerca statistica, scientifica o storica, o carattere socio-assistenziale o per il perseguimento di un interesse collettivo o diffuso» (art. 51 del d.P.R. 20 marzo 1967, n. 223, come modificato dall’art. 177, comma 5, del d. lgs. n. 196/2003).
[15] Art. 13, della legge 23 ottobre 2003, n. 286; art. 5 della legge 27 dicembre 2001, n. 459; art. 5, comma 1, del d.P.R. 2 aprile 2003, n. 104.
[17] Cfr. il provvedimento di «Aggiornamento delle prescrizioni dirette ai fornitori di servizi di comunicazione elettronica accessibili al pubblico che svolgono attività di profilazione» del 6 febbraio 2014, in G.U. n. 58 dell’11 marzo 2014 e in www.gpdp.it, doc. web n. 2951718. Vd., inoltre, il “provvedimento generale” in materia di profilazione del 25 giugno 2009 recante «Prescrizioni ai fornitori di servizi di comunicazione elettronica accessibili al pubblico che svolgono attività di profilazione», in G.U. n. 159 del 11 luglio 2009 e in www.gpdp.it, doc. web n. 1629107. Su tali provvedimenti cfr. il precedente Osservatorio M. Viggiano, Osservatorio Garante per la protezione dei dati personali (fasc. 1/2014), cit.
[18] Cfr. i documenti del Gruppo di lavoro per la tutela dei dati personali ex art. 29, Opinion 04/2012 on Cookie Consent Exemption, del 7 giugno 2012, in http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp194_en.pdf nonché Working Document 02/2013 providing guidance on obtaining consent for cookies, del 2 ottobre 2013, in http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp208_en.pdf.
[19] Nel provvedimento si legge che i «cookie sono stringhe di testo di piccole dimensioni che i siti visitati dall’utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Nel corso della navigazione su un sito, l’utente può ricevere sul suo terminale anche cookie che vengono inviati da siti o da web server diversi (c.d. “terze parti”), sui quali possono risiedere alcuni elementi (quali, ad esempio, immagini, mappe, suoni, specifici link a pagine di altri domini) presenti sul sito che lo stesso sta visitando». Inoltre, è precisato che «I cookie, solitamente presenti nei browser degli utenti in numero molto elevato e a volte anche con caratteristiche di ampia persistenza temporale, sono usati per differenti finalità: esecuzione di autenticazioni informatiche, monitoraggio di sessioni, memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, ecc.».
[20] Nell’economia del presente resoconto non è possibile entrare nel dettaglio. Il tema è già stato oggetto di più specifica trattazione in precedenti lavori cui, se si ritiene, sia consentito rinviare anche per gli opportuni riferimenti bibliografici: M. Viggiano, «Navigazione» in Internet e acquisizione occulta di dati personali, in Il Diritto dell’informazione e dell’informatica, 2007, fasc. 2, 347 ss. nonché a M. Viggiano, Internet. Informazione, regole e valori costituzionali, Jovene, Napoli, 2010.
[21] Tale articolo è stato modificato dall’art. 1, comma 5, lett. a, del d. lgs. 28 maggio 2012, n. 69 che ha recepito l’art. 2, par. 5, della direttiva del Parlamento Europeo e del Consiglio del 25/11/2009 n. 2009/136/CE, recante «modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell’esecuzione della normativa a tutela dei consumatori».
[23] Come noto, dati sensibili sono «i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale» (art. 4 comma 1, lett. d, del d. lgs. n. 196/2003).
[24] Nel provvedimento è definito come il soggetto «in grado di fornire alla propria clientela un servizio di pagamento tramite telefono cellullare per l’acquisto di contenuti digitali attraverso l’utilizzo di una carta telefonica ricaricabile, ovvero sulla base di un abbonamento telefonico» (cfr. par. 4)
[25] Ossia «il soggetto o i soggetti che mettono a disposizione e gestiscono la piattaforma abilitante per la fruizione dei prodotti e servizi digitali» (ibidem).
[29] Per una più ampia analisi delle Linee guida si rinvia al contributo di L. Califano, Le nuove Linee guida del Garante privacy sulla trasparenza nella PA, Relazione al ForumPa 2014, Roma, 28 maggio 2014, in Forum di Quaderni costituzionali, http://www.forumcostituzionale.it/site/images/stories/pdf/documenti_forum/paper/0482_califano.pdf.
[30] Il riferimento è alle «Linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web» del 2 marzo 2011, in G.U. n. 64 del 19 marzo 2011 e in www.gpdp.it, doc. web n. 1793203; e alle «Linee guida in materia di trattamento di dati personali per finalità di pubblicazione e diffusione di atti e documenti di enti locali» del 19 aprile 2007, in G.U. n. 120 del 25 maggio 2007 e in www.gpdp.it, doc. web n. 1407101.
[31] Nelle Linee guida si riportano alcuni casi esemplificativi, pensando «alle pubblicazioni ufficiali dello Stato, alle pubblicazioni di deliberazioni, ordinanze e determinazioni sull’albo pretorio online degli enti locali (oppure su analoghi albi di altri enti, come ad esempio le Asl), alle pubblicazioni matrimoniali, alla pubblicazione degli atti concernenti il cambiamento del nome, alla pubblicazione della comunicazione di avviso deposito delle cartelle esattoriali a persone irreperibili, ai casi di pubblicazione dei ruoli annuali tributari dei consorzi di bonifica, alla pubblicazione dell’elenco dei giudici popolari di corte d’assise, etc.».
[32] In tal senso, ad esempio, con riferimento all’obbligo di pubblicare le dichiarazione dei redditi dei soggetti titolari di incarichi di indirizzo politico, dovranno essere oscurati i dati eccedenti (come lo stato civile, il codice fiscale) o i dati da cui è possibile ricavare informazioni sensibili (es. familiari a carico tra i quali possono essere indicati figli disabili; spese mediche e di assistenza per portatori di handicap o per determinate patologie; erogazioni liberali in denaro a favore delle istituzioni religiose; scelta per la destinazione dell’otto per mille, etc.).
[33] Per una recente analisi del tema dei cc.dd. open data si rinvia al contributo di G. De Minico, Gli open data: una politica “costituzionalmente necessaria?, 12/6/2014, in Forum di quaderni costituzionali, http://www.forumcostituzionale.it/site/images/stories/pdf/documenti_forum/paper/0483_deminico.pdf.
[34] In tal senso, si sollecita i soggetti destinatari di obblighi di pubblicazione online a inserire «nella sezione denominata “Amministrazione trasparente” dei propri siti web istituzionali un Alert generale con cui si informi il pubblico che i dati personali pubblicati sono “riutilizzabili solo alle condizioni previste dalla normativa vigente sul riuso dei dati pubblici (direttiva comunitaria 2003/98/CE e d. lgs. 36/2006 di recepimento della stessa), in termini compatibili con gli scopi per i quali sono stati raccolti e registrati, e nel rispetto della normativa in materia di protezione dei dati personali”».