Bollettino26 Cittadini e Società dell Informazione Anno VI Marzo 2002 www.garanteprivacy.it
Presidente Stefano Rodotà Componenti Giuseppe Santaniello, Vice Presidente Gaetano Rasi Mauro Paissan Segretario generale Giovanni Buttarelli Piazza di Monte Citorio, 121 00186 Roma tel. 06 696771 - fax 06 69677785 www.garanteprivacy.it www.dataprotection.org
Bollettino26 Cittadini e Società dell Informazione Anno VI Marzo 2002 www.garanteprivacy.it
Indice ATTI E PROVVEDIMENTI Dati giudiziari Dati personali detenuti da un soggetto ausiliario del giudice 3 Dati sensibili I dati attinenti alla salute vanno comunicati all'interessato attraverso il medico designato 5 L'interessato può conoscere i suoi dati sanitari contenuti in una perizia medico-legale 7 Diritto di accesso Accesso ai dati contributivi e riscontro parziale dell'i.n.p.s. 9 Cancellazione dei dati registrati su una tessera magnetica 11 Solo l'effettiva comunicazione dei dati costituisce adempimento alla richiesta di accesso 13 Procedimento relativo ai ricorsi Adempimento del titolare mediante comunicazione dell'origine dei dati 16 E' necessario che sussista identità di oggetto fra l'istanza al titolare e il ricorso al Garante 18 Il Garante non è competente in tema di risarcimento danni 21 Il titolare del trattamento è tenuto ad un completo riscontro delle richieste dell'interessato 23 Richiesta di accesso a soggetto che non detiene dati dell'interessato 25 Riscontro all'istanza successivo al ricorso e rimborso delle spese 27 Se i dati sono forniti dopo il ricorso vanno rimborsate le spese del procedimento 30 II Indice
Reti telematiche ed Internet E-mail, atti e documenti conoscibili da chiunque 37 COMUNICATI STAMPA Test genetici. Conferenza internazionale a Roma 45 Cogne. Il Garante per la privacy: lasciate in pace il fratello di Samuele 46 Caso Cogne. Il Garante avvia accertamenti 47 Indice III
Atti e provvedimenti
Le generalità dell interessato sono omesse nella versione pubblicata di alcuni provvedimenti, per motivi di opportunità anche su richiesta del medesimo interessato (art. 16 regolamento del Garante n. 1/2000 del 28 giugno 2000).
Dati giudiziari Dati personali detenuti da un soggetto ausiliario del giudice Il trattamento dei dati operato dal collaboratore del consulente tecnico d'ufficio nominato dal giudice rientra fra quelli svolti "per ragioni di giustizia" ai quali non si applica il procedimento relativo al ricorso avanti al Garante, che va quindi dichiarato inammissibile (fattispecie relativa alla perizia redatta da un professionista nel corso di un processo avanti al tribunale dei minorenni avente ad oggetto l'eventuale adottabilità delle figlie minori dell'interessata). IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI NELLA riunione odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale; ESAMINATO il ricorso presentato dalla sig.a XY nei confronti della dr.ssa WY; VISTA la documentazione in atti; VISTI gli articoli 13 e 29 della legge 31 dicembre 1996, n. 675 e gli articoli 18, 19 e 20 del d.p.r. 31 marzo 1998, n. 501; VISTE le osservazioni dell Ufficio formulate dal segretario generale ai sensi dell art. 15 del regolamento del Garante n. 1/2000; RELATORE il dr. Mauro Paissan; PREMESSO: 1. La ricorrente, parte in due procedimenti dinanzi al Tribunale per i minorenni di K, volti a verificare l eventuale adottabilità delle proprie figlie minori, lamenta di non aver ricevuto riscontro ad una richiesta di accesso ai dati personali, formulata ai sensi dell art. 13 della legge n. 675/1996, nei confronti della dr. ssa YH presso la quale, su disposizione del predetto Tribunale, avrebbe sostenuto alcuni colloqui finalizzati alla valutazione del proprio profilo personologico. In particolare, la ricorrente ha chiesto la conferma dell esistenza di dati che la riguardano, copia del documento e dell eventuale registrazione effettuata durante i colloqui, l origine dei dati, la loro comunicazione in forma intelligibile e, infine, la cancellazione di quelli trattati in violazione di legge. Nel ricorso presentato a questa Autorità ai sensi dell art. 29 della legge n. 675/1996, la ricorrente ha ribadito le proprie richieste ed ha affermato che il predetto professionista, avrebbe riportato nella Diagnosi di personalità informazioni erronee o comunque non conformi a quanto dalla stessa affermato in sede di colloqui. 2. A seguito dell invito ad aderire formulato da questa Autorità, ai sensi dell art. 20 del d.p.r. n. 501/1998, la dr.ssa XZ ha fornito all interessata un riscontro sostenendo che la perizia in questione è stata svolta per un incarico dell autorità giudiziaria e di non ritenere pertanto applicabile la legge n. 675/1996. La stessa ha comunque dichiarato che i dati personali dell interessata deriverebbero unicamente dai colloqui e dai test effettuati con la ricorrente e che tutto il materiale in proprio possesso sarebbe stato comunque consegnato al consulente tecnico d ufficio designato dal giudice competente. Dati giudiziari 3
3. Il Tribunale per i minorenni di K, a seguito di una richiesta di questa Autorità formulata in data 21 marzo 2002, ha precisato da ultimo - con nota del 25 marzo 2002 - che la dr.ssa XZ ha svolto la propria attività nei procedimenti relativi alle minori quale ausiliario autorizzato del CTU nominato dr.ssa JH. CIÒ PREMESSO IL GARANTE OSSERVA: 4. L eccezione della resistente è fondata e il ricorso non risulta quindi ammissibile. Il ricorso concerne il diritto di accesso ad alcuni dati personali detenuti da un professionista che ha collaborato con il Tribunale per i minorenni curando perizie acquisite nell ambito di due procedimenti relativi a minori. Il trattamento di tali dati riguarda una specifica funzione svolta da un ausiliario autorizzato del consulente tecnico d ufficio nominato dal giudice competente per i procedimenti concernenti le figlie minori dell interessata e rientra quindi fra i trattamenti di dati posti in essere per ragioni di giustizia, nell ambito di uffici giudiziari (art. 4, comma 1, lett. d), legge n. 675). L attività svolta dalla resistente si inquadra infatti, al pari di quella curata dal consulente tecnico d ufficio, nell ambito delle funzioni ausiliarie nei cui confronti opera la medesima disciplina della legge n. 675 applicabile alla autorità giudiziaria coadiuvata. A tale categoria di trattamenti si applicano allo stato solo alcune disposizioni della legge n. 675/1996 specificamente elencate nel comma 2 del medesimo art. 4 e fra le quali non sono compresi né l art. 13 (esercizio del diritto di accesso ai dati), né l art. 29 (in materia di ricorsi al Garante) della medesima legge. Pertanto, nei confronti dei trattamenti di dati effettuati per ragioni di giustizia, come nel caso di quello posto in essere dal professionista sanitario incaricato dal consulente tecnico d ufficio del Tribunale per i minorenni, non può essere proposto ricorso ex art. 29, né può essere presentata una previa istanza ai sensi del citato art. 13, essendo solamente possibile sollecitare, attraverso una richiesta o l invio di una segnalazione o reclamo al Garante, la verifica della rispondenza dei trattamenti di dati ai requisiti stabiliti dalla legge o dai regolamenti (artt.31, comma 1, lett. d) e p) e 32, in relazione al citato art. 4, comma 2). Tale assetto normativo non influisce sull obbligo, anche per i titolari dei trattamenti di dati in questione, di utilizzare informazioni esatte nel rispetto dei requisiti previsti dall art. 9 della citata legge, profilo per il quale l accertata inammissibilità del ricorso non comporta alcun pregiudizio per i diritti dell interessata. PER QUESTI MOTIVI IL GARANTE: dichiara inammissibile il ricorso nei termini di cui in motivazione. Roma, 27 marzo 2002 IL RELATORE Paissan IL PRESIDENTE Rodotà IL SEGRETARIO GENERALE Buttarelli 4 Bollettino 26 Atti e provvedimenti
Dati sensibili I dati attinenti alla salute vanno comunicati all'interessato attraverso il medico designato I dati attinenti allo stato di salute dell'interessato, contenuti in una perizia redatta da un medico fiduciario di una società di assicurazioni, possono essere comunicati soltanto per il tramite di un medico designato dall'interessato o, in difetto, dallo stesso titolare. IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI In data odierna, con la partecipazione del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dottor Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale; ESAMINATO il ricorso presentato dalla Sig.a XY, rappresentata e difesa dall avv. YZ presso il cui studio in QK ha eletto domicilio nei confronti di Vittoria Assicurazioni S.p.A.; VISTA la documentazione in atti; VISTE le osservazioni formulate dal segretario generale ai sensi dell art. 15 del regolamento del Garante n. 1/2000; RELATORE il prof. Gaetano Rasi; PREMESSO: 1. La ricorrente lamenta di non avere ricevuto riscontro alla richiesta di accesso formulata in riferimento ai propri dati personali detenuti da Vittoria Assicurazioni S.p.A., con particolare riguardo alle informazioni contenute nella perizia medico-legale redatta dal medico di fiducia della società. Con il ricorso proposto ai sensi dell art. 29 della legge n. 675/1996 l interessata chiede che il Garante ordini all indicato titolare del trattamento di comunicare tali dati, ponendo a carico dello stesso le spese del procedimento. 2. All invito ad aderire spontaneamente a tali richieste, formulato il 27 febbraio 2002 ai sensi dell art. 20 del d.p.r. n. 501/1998, Vittoria Assicurazioni S.p.A. ha risposto con nota anticipata via fax il 6 marzo 2002 nella quale: - ha indicato quali tipi di dati, comuni e sensibili, siano attualmente in possesso della società di assicurazione, dichiarandosi disponibile a comunicarli all interessata tramite il medico dalla stessa già designato; - ha fatto presente di non essersi ritenuta gravata, anche in forza del disposto dell art. 14, comma 1, lettera e), della legge n. 675, di alcun obbligo di comunicazione poiché l interessata aveva preannunciato l intenzione di adire l autorità giudiziaria ; - di aderire comunque, per ragioni di trasparenza e non avendo alcunché da tener celato alla richiesta della ricorrente. Dati sensibili 5
L interessata, con fax in data 12 marzo, pur contestando alcune affermazioni del titolare in ordine alla volontà della stessa di adire l autorità giudiziaria, ha preso atto della volontà della società di comunicare i dati richiesti, ribadendo però la richiesta di attribuire le spese del procedimento a carico del titolare del trattamento. CIÒ PREMESSO OSSERVA: 3. Il ricorso verte sulla richiesta di accesso ai dati personali detenuti da una compagnia di assicurazione, con particolare riferimento a quelli contenuti in una perizia medico-legale. In proposito, la società titolare del trattamento ha aderito alle richieste della ricorrente comunicandoli al medico da questa già designato, e soprassedendo quindi dal sollevare un eccezione - invero irrilevante rispetto al preciso disposto di cui alla lettera e) del citato art. 14 - in relazione alla (non pacifica) intenzione dell interessata di adire l autorità giudiziaria. L indicata modalità di adempimento è conforme al dettato normativo. I dati personali richiesti sono infatti costituiti, almeno in parte, da dati personali sensibili attinenti allo stato di salute della ricorrente. Tali dati, ai sensi dell art. 23, comma 2, della legge n. 675, possono essere resi noti all interessata solo per il tramite di un medico designato dall interessato o dal titolare. In ordine al ricorso va pertanto dichiarato non luogo a provvedere ai sensi dell art. 20, comma 2, del d.p.r. n. 501/1998. Il positivo riscontro alle richieste dell interessata è però avvenuto solo dopo la presentazione del ricorso al Garante. Pertanto, in considerazione della mancata, tempestiva risposta alle istanze proposte ai sensi dell art. 13 della citata legge n. 675, va posto a carico di Vittoria Assicurazioni S.p.A. l ammontare delle spese sostenute dalla ricorrente, determinato nella misura forfettaria di euro 250, di cui euro 25,82 per diritti di segreteria, tenendo conto degli adempimenti connessi alla redazione e alla presentazione del ricorso. PER QUESTI MOTIVI IL GARANTE DICHIARA: - non luogo a provvedere sul ricorso ai sensi dell art. 20, comma 2, del d.p.r. n. 501/1998; - determina, ai sensi dell art. 20, commi 2 e 9, del d.p.r. n. 501/1998, nella misura forfettaria di euro 250, di cui euro 25,82 per diritti di segreteria, l ammontare delle spese e dei diritti posti a carico di Vittoria Assicurazioni S.p.A. che dovrà liquidarli direttamente a favore della ricorrente. Roma, 20 marzo 2002 IL RELATORE Rasi IL PRESIDENTE Rodotà IL SEGRETARIO GENERALE Buttarelli 6 Bollettino 26 Atti e provvedimenti
Dati sensibili L'interessato può conoscere i suoi dati sanitari contenuti in una perizia medico-legale Il titolare del trattamento (nella specie una società di assicurazioni) può aderire alla richiesta del ricorrente, volta a conoscere i dati inerenti alla propria salute contenuti in una perizia medico-legale, soltanto per il tramite di un medico designato dall'interessato o dal titolare stesso. IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI NELLA riunione odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale; ESAMINATO il ricorso presentato dalla sig.a XY nei confronti di Meie Assicurazioni S.p.A.; VISTA la documentazione in atti; VISTI gli articoli 13 e 29 della legge 31 dicembre 1996, n. 675 e gli articoli 18, 19 e 20 del d.p.r. 31 marzo 1998, n. 501; VISTE le osservazioni dell Ufficio formulate dal segretario generale ai sensi dell art. 15 del regolamento del Garante n. 1/2000; RELATORE il dott. Mauro Paissan; PREMESSO: 1. La ricorrente lamenta di non aver ricevuto riscontro ad alcune richieste, formulate ai sensi dell art. 13 della legge n. 675/1996, con le quali aveva chiesto a Meie Assicurazioni S.p.A. la comunicazione di dati personali che la riguardano contenuti nella perizia medico-legale redatta dal medico fiduciario della società, in relazione ai postumi invalidanti derivati da un sinistro stradale nel quale era rimasta coinvolta. Con il ricorso al Garante proposto ai sensi dell art. 29 della citata legge l interessata ha ribadito le proprie richieste. A seguito dell invito ad aderire formulato da questa Autorità in data 27 febbraio 2002, ai sensi dell art. 20 del d.p.r. n. 501/1998, Meieaurora Assicurazioni S.p.a., con nota inviata via fax in data 4 marzo 2002, ai sensi dell art. 23, comma 2, della legge n. 675/1996, ha chiesto alla ricorrente di indicare il nominativo del medico al quale trasmettere la relazione della visita medico legale effettuata dal perito di fiducia di compagnia. Tale nominativo è stato indicato per conto dell interessata nella stessa data del 4 marzo u.s. In data 12 marzo 2002 è infine pervenuta una nota con la quale Meie Assicurazioni S.p.a. ha confermato di aver inoltrato al professionista designato copia della perizia medico-legale in questione. Dati sensibili 7
CIÒ PREMESSO IL GARANTE OSSERVA: 2. Il ricorso concerne una richiesta di accesso ai dati personali contenuti in una perizia medico legale redatta da una compagnia di assicurazioni a seguito di un sinistro stradale che ha coinvolto la ricorrente. In proposito va dichiarato non luogo a provvedere sul ricorso ai sensi dell art. 20, comma 2, del d.p.r. n. 501/1998. Il titolare del trattamento ha infatti aderito alle richieste dell interessata, dapprima manifestando la disponibilità ad inviare -e, poi, inviando- copia della perizia medico-legale in questione per il tramite di un sanitario indicato dalla medesima ricorrente, in conformità a quanto previsto dall art. 23, comma 2, della legge n. 675/1996, secondo il quale i dati personali idonei a rivelare lo stato di salute possono essere resi noti all interessato solo per il tramite di un medico designato dall interessato o dal titolare. PER QUESTI MOTIVI IL GARANTE: dichiara, ai sensi dell art. 20, comma 2, del d.p.r. n. 501/1998, non luogo a provvedere sul ricorso. Roma, 20 marzo 2002 IL RELATORE Paissan IL PRESIDENTE Rodotà IL SEGRETARIO GENERALE Buttarelli 8 Bollettino 26 Atti e provvedimenti
Diritto di accesso Accesso ai dati contributivi e riscontro parziale dell'i.n.p.s. Deve essere parzialmente accolta la richiesta dell'interessato di accesso ai dati personali detenuti dall'i.n.p.s., ove l'istituto non comunichi tutti i dati in suo possesso (fattispecie in cui l'i.n.p.s. ha fornito l'estratto contributivo dell'interessato fino al 1999, senza specificare l'eventuale trattamento di ulteriori dati personali, con particolare riferimento a quelli di natura contributiva relativi a periodi successivi al 1999). IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI NELLA riunione odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale; ESAMINATO il ricorso presentato dalla sig.a XY nei confronti di INPS - Istituto nazionale previdenza sociale; VISTA la documentazione in atti; VISTI gli articoli 13 e 29 della legge 31 dicembre 1996, n. 675 e gli articoli 18, 19 e 20 del d.p.r. 31 marzo 1998, n. 501; VISTE le osservazioni dell Ufficio formulate dal segretario generale ai sensi dell art. 15 del regolamento del Garante n. 1/2000; RELATORE il Prof. G. Rasi; PREMESSO: 1. La ricorrente, già dipendente di Enel S.p.a e attualmente di Acea Distribuzione S.p.A., lamenta di non aver ricevuto idoneo riscontro ad una richiesta avanzata ai sensi dell art. 13 della legge n. 675/1996 nei confronti di INPS Istituto nazionale previdenza sociale, volta ad ottenere l accesso a tutti i dati personali che la riguardano e, in particolare, a quelli riferiti ai periodi contributivi versati dal 1999 dal datore di lavoro. Con il ricorso proposto ai sensi dell art. 29 della legge n. 675 l interessata ha ribadito le proprie richieste, in particolare per quanto riguarda i predetti contributi. A seguito dell invito ad aderire formulato da questa Autorità in data 27 febbraio 2002, il titolare del trattamento ha inviato all interessata l estratto relativo alla contribuzione fino al 1999, invitandola a presentare presso la competente sede dell Istituto i modelli Cud 2000 e 2001 per poter eventualmente attivare il recupero dei contributi successivi al 1999. CIÒ PREMESSO, IL GARANTE OSSERVA: 2. Il ricorso verte su un istanza di accesso ai dati personali detenuti da INPS - Istituto nazionale previdenza sociale. In ordine a tale istanza il ricorso deve essere accolto in parte in quanto tale titolare del trattamento ha Diritto di accesso 9
fornito un riscontro parziale a quanto chiesto dall interessata. In particolare l INPS - Istituto nazionale previdenza sociale ha risposto all interessata fornendo l estratto relativo alla contribuzione sino al 1999, senza specificare alcunché circa l eventuale trattamento di ulteriori dati personali relativi all interessata. Più precisamente, ha fornito alla ricorrente ulteriori informazioni concernenti l eventuale recupero dei contributi versati, ma non ha integrato il riscontro in riferimento ad altri, eventuali dati personali dell interessata sia per quanto riguarda la vicenda contributiva a decorrere dal 1999 (profilo su cui la ricorrente si è soffermata in modo particolare), sia in termini più generali, giacchè la richiesta di accesso è formulata appunto in termini ampi, in relazione a tutti i dati personali eventualmente detenuti. L interessata, infatti, ai sensi dell art. 13 della legge n. 675/1996, ha diritto di accedere a tutti i propri dati personali detenuti dal titolare del trattamento. Solo quando l estrazione dei dati risulti particolarmente difficoltosa, l adempimento della richiesta di accesso può avvenire anche tramite la modalità dell esibizione e/o della consegna in copia della documentazione, secondo quanto già precisato da questa Autorità (per le particolari modalità utilizzabili in presenza di particolari complessi di dati che rendano difficile l estrapolazione, v. decisione di questa Autorità del 28 dicembre 2000, in Bollettino n. 16 del gennaio 2001). Il titolare del trattamento dovrà quindi fornire un preciso riscontro all interessata confermando se è in possesso di ulteriori dati della ricorrente oltre quelli già comunicati, nei termini predetti, entro un termine che appare congruo fissare al 30 aprile 2002. 3. Considerata infine la mancanza di idoneo riscontro alla richiesta precedentemente avanzata dall interessata ai sensi dell art. 13 della legge n. 675/1996, appare congruo determinare l ammontare delle spese e dei diritti relativi al presente procedimento ai sensi dell art. 20, comma 9, del d.p.r. n. 501/1998, nella misura forfettaria di euro 250,00, di cui euro 25, 82 per diritti di segreteria, tenuto conto degli adempimenti connessi alla redazione e alla presentazione del ricorso. Detto ammontare è posto in misura pari alla sua metà a carico dell ente resistente, sussistendo giusti motivi, in relazione alla particolarità del caso, per una parziale compensazione. PER QUESTI MOTIVI IL GARANTE: - accoglie parzialmente il ricorso nei termini di cui in motivazione ed ordina a INPS Istituto nazionale previdenza sociale, di adempiere alle richieste dell interessata, entro il 30 aprile 2002, dando comunicazione a questa Autorità dell avvenuto adempimento entro la stessa data; - determina, ai sensi dell art. 20, comma 9, del d.p.r. n. 501/1998, nella misura forfettaria di euro 250,00 di cui euro 25, 82 per diritti di segreteria, l ammontare delle spese e dei diritti del presente procedimento, posto in misura pari alla sua metà, previa parziale compensazione per giusti motivi, a carico di INPS Istituto nazionale previdenza sociale che dovrà liquidarlo direttamente in favore della ricorrente. Roma, 20 marzo 2002 IL RELATORE Rasi IL PRESIDENTE Rodotà IL SEGRETARIO GENERALE Buttarelli 10 Bollettino 26 Atti e provvedimenti
Diritto di accesso Cancellazione dei dati registrati su una tessera magnetica Attraverso il ricorso al Garante l'interessato può ottenere la cancellazione dei dati personali detenuti da un'associazione cui abbia aderito, ivi compresi quelli registrati su di una tessera magnetica, consegnatagli al momento dell'iscrizione, che lo abilitava a fruire di particolari servizi. IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI In data odierna, con la partecipazione del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dottor Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale; ESAMINATO il ricorso presentato dal Sig. XY nei confronti di Arcigay-Direzione nazionale; VISTA la documentazione in atti; VISTE le osservazioni formulate dal segretario generale ai sensi dell art. 15 del regolamento del Garante n. 1/2000; RELATORE il prof. Stefano Rodotà; PREMESSO: Il ricorrente lamenta di non avere ricevuto riscontro alla istanza, proposta ai sensi dell art. 13 della legge n. 675 nel novembre del 2001, con la quale aveva chiesto ad Arcigay-Direzione nazionale, di avere accesso ai dati personali che lo riguardano e di conoscere la logica e le finalità del trattamento, nonché di cancellare i dati medesimi. Con il ricorso proposto ai sensi dell art. 29 della legge n. 675/1996 l interessato chiede che il Garante ordini all indicato titolare del trattamento di corrispondere alle richieste a suo tempo presentate. L interessato chiede altresì che siano poste a carico del titolare le spese del procedimento. Con nota in data 25 febbraio 2002, preso atto dell assenso delle parti, questa Autorità, ai sensi dell art. 20, comma 8, del d.p.r. n. 501/1998, ha comunicato che il termine per la decisione del ricorso era prorogato di venti giorni. All invito ad aderire spontaneamente a tali richieste, formulato ai sensi dell art. 20 del d.p.r. n. 501/1998, Arcigay-Direzione nazionale, ha risposto con nota anticipata via fax il 5 marzo 2002 nella quale ha precisato: - i dati personali del ricorrente che sono stati oggetto di trattamento, la loro origine, la logica e le finalità del trattamento medesimo; - di aver già provveduto alla cancellazione dei dati personali del ricorrente dagli archivi informatici dell associazione nello scorso mese di dicembre e di avere comunicato tale circostanza all interessato con Diritto di accesso 11
una nota in data 5 dicembre 2001 (prodotta in allegato), nella quale erano contenute ulteriori informazioni riferite ad una tessera magnetica di cui l interessato era ancora in possesso. Il ricorrente non ha inviato ulteriori note o documenti. CIÒ PREMESSO OSSERVA: Il ricorso verte sul trattamento dei dati personali dell interessato svolto da una associazione, con specifico riferimento ai dati trattati in riferimento all emissione di una tessera magnetica che abilita i titolari a fruire di una serie di servizi. Al riguardo può essere dichiarato non luogo a provvedere sul ricorso ai sensi dell art. 20, comma 2, del d.p.r. n. 501/1998. Il titolare del trattamento ha infatti fornito un idoneo riscontro alle richieste del ricorrente. A tali richieste, prima della presentazione del ricorso, era stata data una risposta non integralmente idonea in quanto era stata assicurata la cancellazione delle informazioni dall archivio informatico, ma non erano stati precisati i dati oggetto del trattamento e non erano state indicate in modo esaustivo la logica e le finalità del trattamento. Con la nota del 5 marzo 2002, l associazione resistente ha anche dimostrato che, diversamente da quanto ipotizzato dal ricorrente, il modulo di adesione al circolo da questi sottoscritto rinvia allo statuto dell associazione federale medesima, il quale, in collegamento con l informativa ai sensi della legge n. 675, prevede un iscrizione non temporanea, ma «permanente», valida fino ad esplicita manifestazione contraria del socio che usufruisce anche della tessera XZ cui ha fatto riferimento il ricorrente medesimo. In considerazione del predetto, incompleto riscontro alle istanze a suo tempo presentate dall interessato, va posto a carico di Arcigay-Direzione nazionale, l ammontare delle spese sostenute dal ricorrente, determinato nella misura forfettaria di euro 250,00 di cui euro 25,82 per diritti di segreteria, tenuto conto degli adempimenti connessi alla redazione e alla presentazione del ricorso. PER QUESTI MOTIVI IL GARANTE DICHIARA: - non luogo a provvedere sul ricorso ai sensi dell art. 20, comma 2, del d.p.r. n. 501/1998 n. 675; - determina, ai sensi dell art. 20, commi 2 e 9, del d.p.r. n. 501/1998, nella misura forfettaria di euro 250,00 di cui euro 25,82 per diritti di segreteria, l ammontare delle spese e dei diritti posti a carico di Arcigay-Direzione nazionale, che dovrà liquidarli direttamente a favore del ricorrente. Roma, 20 marzo 2002 IL RELATORE Rodotà IL PRESIDENTE Rodotà IL SEGRETARIO GENERALE Buttarelli 12 Bollettino 26 Atti e provvedimenti
Diritto di accesso Solo l'effettiva comunicazione dei dati costituisce adempimento alla richiesta di accesso La semplice manifestazione, da parte del titolare del trattamento, dell'intenzione di aderire alla richiesta di accesso, ove non seguita dall'effettiva comunicazione dei dati all'interessato, comporta l'accoglimento del ricorso proposto al Garante. IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI In data odierna, con la partecipazione del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dottor Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale; ESAMINATO il ricorso presentato dalla Sig.a XY nei confronti di ARCA, Associazione nazionale ricreativa, culturale, sportiva dipendenti Enel; VISTA la documentazione in atti; VISTE le osservazioni formulate dal segretario generale ai sensi dell art. 15 del regolamento del Garante n. 1/2000; RELATORE il prof. Gaetano Rasi; PREMESSO: La ricorrente lamenta di avere ricevuto un riscontro generico ed incompleto ad una richiesta avanzata ai sensi dell art. 13 della legge n. 675 con la quale aveva chiesto di conoscere in modo intelligibile tutti i dati a diverso scopo e titolo trattati da ARCA, Associazione nazionale ricreativa, culturale, sportiva dipendenti Enel. Con il ricorso proposto ai sensi dell art. 29 della legge n. 675 l interessata ha ribadito la propria richiesta di accedere all indicato insieme di dati, con specifico riferimento a tutte le informazioni trattate negli ultimi anni relativamente ai numerosi servizi di cui l interessata si è avvalsa (prestiti, richiesta concessione mutuo, ecc.). La ricorrente ha altresì chiesto di porre a carico del titolare del trattamento le spese del procedimento. Con nota in data 20 febbraio 2002 questa Autorità, preso atto dell assenso delle parti, ha dato comunicazione, ai sensi dell art. 20, comma 8, del d.p.r. n. 501/1998, della proroga di venti giorni del termine per la decisione sul ricorso. All invito ad aderire spontaneamente alle richieste della ricorrente, formulato da questa Autorità con nota n. 1315 del 5 febbraio 2002, il titolare del trattamento ha risposto con nota anticipata via fax il 7 marzo 2002 nella quale ha precisato: - logica, modalità e finalità del trattamento di dati svolto, specificando altresì l articolazione territoriale dell associazione ed i diversi settori in cui la medesima opera; Diritto di accesso 13
- i provvedimenti e le procedure adottate per conformare i trattamenti alla legge n. 675; - di voler fornire il più ampio e completo riscontro alle richieste della ricorrente, dichiarandosi disponibile fin da ora a fornire tutte le informazioni e la documentazione necessaria. L interessata, con fax in data 11 marzo 2002, ha messo in luce il ritardo con cui è pervenuto il predetto riscontro, privo, peraltro, dei dati personali richiesti. CIÒ PREMESSO IL GARANTE OSSERVA: Il ricorso verte sull accesso al complesso dei dati personali detenuti da un associazione operante nel settore ricreativo, culturale e assistenziale, e trattati in relazione ad un proprio socio. Le informazioni richieste (di cui la ricorrente ha evidenziato la molteplice tipologia) rientrano nella nozione di dato personale di cui all art. 1, comma 2, lettera c), della legge n. 675 ed è pertanto legittima la richiesta dell interessata di venirne a conoscenza ai sensi dell art. 13 della medesima legge. Il citato art. 13 e l art. 17 del d.p.r. n 501/1998 obbligano il titolare o il responsabile del trattamento ad estrapolare dai propri archivi e documenti tutti i dati personali oggetto di richiesta, detenuti su supporto cartaceo o informatico e che riguardano la richiedente, e a riferirli a quest ultima con modalità idonee a renderli agevolmente comprensibili. L accesso, quindi, non obbliga ad esibire o a copiare interamente ogni singolo atto, ma rende piuttosto necessario estrarre dagli atti, dai documenti e dagli archivi e banche dati tutte le informazioni di carattere personale relative all interessata (cfr. provvedimento del Garante del 23 giugno 1998, in Bollettino del Garante n. 5, pag. 20). Solo quando l estrazione di tali dati risulta particolarmente difficoltosa, l adempimento alla richiesta di accesso può avvenire anche tramite l esibizione e/o la consegna in copia della documentazione (cfr. il provvedimento del Garante dell 11 gennaio 2001, in Bollettino n. 16, pag. 23). Nel caso di specie, l associazione titolare del trattamento ha manifestato l intenzione di aderire alle richieste della ricorrente (nota pervenuta dopo il 28 febbraio 2002, termine indicato nella nota del 20 febbraio), ma si è limitato a descrivere alcune modalità e finalità del trattamento, senza fornire i dati richiesti. L associazione ARCA dovrà quindi rendere concreta la volontà adesiva manifestata, comunicando all interessata tutti i dati personali relativi all interessata oggetto di richiesta, entro un termine che appare congruo fissare al 30 aprile 2002. L interessata potrà visionare ed estrarre eventualmente copia dei dati personali che la riguardano, anche avvalendosi di persona a ciò delegata (art. 20, comma 2, del d.p.r. n. 501/1998) o facendosi assistere da persona di sua fiducia (art. 20, comma 4, d.p.r. cit.). Deve essere invece dichiarato non luogo a provvedere sulla richiesta di conoscere alcune modalità del trattamento, in particolare per ciò che riguarda la sicurezza, in ragione dei sufficienti riscontri comunicati in proposito all interessata. In considerazione del riscontro tardivo e parzialmente inidoneo, va posto a carico di ARCA, Associazione nazionale ricreativa, culturale, sportiva dipendenti Enel, metà dell ammontare delle spese sostenute nel presente procedimento, (determinato nella misura forfettaria di euro 250,00 di cui euro 25,82 per diritti di segreteria, tenuto conto degli adempimenti connessi alla redazione e presentazione del ricorso al Garante), stante la ritenuta necessità di disporre una parziale compensazione delle spese per giusti motivi derivanti dalla particolarità del caso. 14 Bollettino 26 Atti e provvedimenti
PER QUESTI MOTIVI IL GARANTE: - accoglie parzialmente il ricorso e ordina ad ARCA, Associazione nazionale ricreativa, culturale, sportiva dipendenti Enel, di comunicare all interessata tutti i dati personali che la riguardano oggetto di richiesta, nei termini di cui in motivazione, entro il 30 aprile 2002, dando conferma entro la stessa data a questa Autorità dell avvenuto adempimento; - dichiara non luogo a provvedere sul ricorso ai sensi dell art. 20, comma 2, del d.p.r. n. 501/1998 in relazione alla richiesta relativa alle modalità del trattamento; - determina, ai sensi dell art. 20, commi 2 e 9, del d.p.r. n. 501/1998, nella misura forfettaria di euro 250,00 di cui euro 25,82 per diritti di segreteria, l ammontare delle spese e dei diritti del presente procedimento, posto in misura pari alla metà, previa parziale compensazione delle spese per giusti motivi, a carico di ARCA, Associazione nazionale ricreativa, culturale, sportiva dipendenti Enel, la quale dovrà liquidarli direttamente a favore della ricorrente. Roma, 20 marzo 2002 IL RELATORE Rasi IL PRESIDENTE Rodotà IL SEGRETARIO GENERALE Buttarelli Diritto di accesso 15
Procedimento relativo ai ricorsi Adempimento del titolare mediante comunicazione dell'origine dei dati In caso di adempimento alla richiesta del ricorrente, va dichiarato non luogo a provvedere sul ricorso (fattispecie relativa alla comunicazione da parte di un istituto scolastico privato dell'origine dei dati della figlia minore dell'interessata cui era stata inviata una comunicazione pubblicitaria). IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI In data odierna, con la partecipazione del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dottor Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale; ESAMINATO il ricorso presentato dalla Sig.a Caterina Spartano Martinolli in qualità di genitore della figlia minore Elisa nei confronti di Istituto scolastico Ugo Foscolo con sede in Trieste; VISTA la documentazione in atti; VISTE le osservazioni formulate dal segretario generale ai sensi dell art. 15 del regolamento del Garante n. 1/2000; RELATORE il prof. Gaetano Rasi; PREMESSO: La ricorrente, madre di una minore in età scolare, lamenta di non avere ricevuto idoneo riscontro ad una istanza proposta ai sensi dell art. 13 della legge n. 675, con la quale aveva chiesto ad un istituto scolastico privato di conoscere i dati personali riferiti alla figlia, nonché la loro origine, utilizzati per l invio di comunicazioni pubblicitarie. Con il ricorso proposto ai sensi dell art. 29 della legge n. 675/1996 l interessata, lamentando l inidoneità dei riscontri pervenuti, chiede che il Garante ordini all istituto titolare del trattamento di precisare l origine dei dati riferiti alla figlia, paventando la loro illecita acquisizione. All invito ad aderire spontaneamente a tali richieste, formulato il 20 febbraio 2002 ai sensi dell art. 20 del d.p.r. n. 501/1998, l istituto ha risposto con nota anticipata via fax il 1 marzo 2002 nella quale ha sostenuto: - di aver acquistato da SEAT S.p.A., antecedentemente al 1996 un archivio contenente i cognomi (non i nomi), l anno di nascita (non la data), l indirizzo, il cap ed il sesso degli allora abitanti in Trieste in età scolare ; - che tale archivio avrebbe integrato quello già in possesso dell Istituto a far tempo dalla sua costituzione ; 16 Bollettino 26 Atti e provvedimenti
- che tali dati non comporterebbero l identificazione di specifiche persone fisiche, bensì la mera delimitazione di un insieme all interno del quale avrebbero potuto esserci soggetti potenzialmente interessati ai servizi offerti dall Istituto; - che ogni anno tali dati verrebbero incrociati con i dati acquisiti attraverso la consultazione degli elenchi pubblici affissi agli albi dei locali istituti scolastici, al termine di ogni anno di studi ; - che all esito di tale operazione verrebbe quindi formata una lista al fine di proporre un offerta di servizi ad un insieme di soggetti potenzialmente interessati salvi comunque i casi, non infrequenti, di omonimie e di errate coincidenze di dati. L interessata, con fax in data 7 marzo 2002, ha manifestato perplessità in ordine alla risposta pervenuta, attesa l alta probabilità di incorrere in errori e omonimie con i metodi rappresentati di selezione dei nominativi. CIÒ PREMESSO OSSERVA: Il ricorso verte sul trattamento dei dati personali di una minore in età scolare svolto da un istituto scolastico privato per l invio di offerte formative promozionali, e riguarda in particolare l esercitato diritto di ottenere da parte dell istituto la conferma dell origine dei dati relativi alla minore (art. 13, comma 1, lett. c), n. 1) legge n. 675/1996). In relazione alla specifica richiesta alla base del ricorso va dichiarato non luogo a provvedere sul ricorso ai sensi dell art. 20, comma 2, del d.p.r. n. 501/1998 avendo il titolare del trattamento fornito da ultimo un formale riscontro al richiedente, indicando le coordinate del soggetto dal quale sarebbero state acquisite varie informazioni, che l istituto asserisce di aver successivamente connesso e raffrontato con dati ricavati da fonti pubbliche liberamente consultabili. PER QUESTI MOTIVI IL GARANTE: dichiara non luogo a provvedere sul ricorso ai sensi dell art. 20, comma 2, del d.p.r. n. 501/1998. Roma, 20 marzo 2002 IL RELATORE Rasi IL PRESIDENTE Rodotà IL SEGRETARIO GENERALE Buttarelli Procedimento relativo ai ricorsi 17
Procedimento relativo ai ricorsi E' necessario che sussista identità di oggetto fra l'istanza al titolare e il ricorso al Garante Il ricorrente non può proporre per la prima volta in sede di ricorso al Garante la richiesta volta ad ottenere la cancellazione dei dati personali detenuti da una c. d. "centrale rischi" privata, ove con la precedente istanza rivolta al titolare del trattamento abbia richiesto solamente l'accesso a tali dati. IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI In data odierna, con la partecipazione del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dottor Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale; esaminato il ricorso presentato dal Sig. XY nei confronti di Crif S.p.A. VISTE le osservazioni formulate dal segretario generale ai sensi dell art. 15 del regolamento del Garante n. 1/2000 adottato con deliberazione n. 15 del 28 giugno 2000; RELATORE il dottor Mauro Paissan; VISTA la documentazione in atti; PREMESSO: Il ricorrente lamenta che Crif S.p.A. non avrebbe provveduto a cancellare una serie di posizioni segnalate nella banca dati della c.d. centrale rischi di cui tale società è titolare. Secondo il ricorrente la conservazione di tali dati sarebbe estremamente pregiudizievole e non sarebbe giustificata, attesa l asserita regolare, anticipata estinzione dei finanziamenti erogati e l assenza, per tutti i contratti in questione, del necessario consenso previsto dall art. 11 della legge n. 675/1996. All invito ad aderire formulato da questa Autorità in data 8 febbraio 2002, il titolare del trattamento ha risposto con memoria anticipata via fax il 19 febbraio 2002. In tale nota Crif S.p.A. ha sostenuto che: - il ricorso sarebbe inammissibile in quanto la richiesta del ricorrente di cancellare il proprio nominativo, avanzata solo in sede di ricorso, non sarebbe stata preceduta da una analoga istanza presentata al titolare del trattamento ai sensi dell art. 13 della legge n. 675, né sussisterebbe, nel caso di specie, il requisito del pregiudizio imminente e irreparabile che, ai sensi dell art. 29, comma 2, della medesima legge, potrebbe giustificare la proposizione del ricorso non preceduta dalla predetta istanza; - il ricorrente si sarebbe quindi limitato a presentare due istanze di semplice accesso ai propri dati personali che il titolare del trattamento avrebbe regolarmente riscontrato; - nel merito, il ricorso sarebbe comunque manifestamente infondato in quanto i dati del ricorrente sarebbero stati raccolti e conservati legittimamente, a nulla rilevando le eventuali richieste di cancella- 18 Bollettino 26 Atti e provvedimenti
zione avanzate direttamente dagli enti finanziatori aderenti alla Centrale rischi in quanto la stessa potrebbe discostarsi dalla linea d azione suggeritagli da altro titolare autonomo sulla base di un attenta valutazione ed osservanza delle finalità che intende perseguire ; - per quanto riguarda il consenso al trattamento dei dati, i finanziamenti di cui ai nn. 1, 3 e 4 della lettera Crif del 21 gennaio 2002, pur essendo stati erogati in data antecedente all entrata in vigore della legge 675/96, risultano essere comunque provvisti dei dovuti consensi, mentre è stata sospesa a titolo meramente cautelativo la visibilità dei finanziamenti di cui ai nn. 2, 5 e 6 della citata lettera, non avendo gli istituti di riferimento inviato la documentazione in tempi congrui. Con note del 19 e 22 febbraio 2002 il ricorrente ha ribadito le proprie richieste. Il ricorso è inammissibile. CIÒ PREMESSO, IL GARANTE OSSERVA: L atto, infatti, difetta dei presupposti previsti dall art. 29 della medesima legge. Il procedimento previsto dall art. 29 della legge n. 675/1996 ha caratteri particolari in quanto con il ricorso che lo introduce non si può lamentare qualsiasi violazione di un diritto della personalità, fuori delle ipotesi di cui all art. 13 della legge. Il ricorso può essere infatti presentato solo per la tutela di una precisa richiesta (formulata in riferimento alle specifiche situazioni soggettive tutelate dall art. 13, comma 1, della legge n. 675) avanzata precedentemente al titolare o al responsabile del trattamento e da questi disattesa anche in parte. Il ricorrente che intenda utilizzare il particolare meccanismo di tutela di cui all art. 29 della legge n. 675 deve quindi avanzare le proprie richieste, con riferimento appunto ai diritti riconosciuti dal citato art. 13 (diritto di accesso ai propri dati personali, di conoscerne l origine, di opporsi al loro trattamento per motivi legittimi; cancellazione dei dati trattati in violazione di legge, ecc.), nei confronti dei titolari o dei responsabili del trattamento, ed attendere almeno cinque giorni dalla data della loro presentazione. La necessità della previa presentazione di una specifica richiesta al titolare o al responsabile del trattamento è esplicitata chiaramente dall art. 18, comma 3, del d.p.r. n. 501/1998 che richiede appunto l allegazione di una copia di tale richiesta all atto di ricorso. La proposizione immediata del ricorso al Garante è invece possibile solo nell ipotesi in cui il decorso del tempo necessario per interpellare il titolare o il responsabile esporrebbe taluno a pregiudizio imminente e irreparabile. Di questa evenienza non vi è alcun cenno nel ricorso in esame che è stato preceduto, come già rilevato, da due richieste dell interessato, correttamente formulate ai sensi dell art. 13 della legge n. 675, ma volte esclusivamente ad ottenere l accesso ai dati detenuti dal titolare. Nella documentazione allegata al ricorso figura una richiesta di cancellazione dei dati datata 12 ottobre 2001 che risulta però indirizzata esclusivamente a due distinti istituti di credito, anziché a Crif S.p.A. Tale istanza è stata quindi rivolta solo ad autonomi titolari del trattamento e non può essere presa in considerazione come previo esercizio dei diritti dell art. 13 nel procedimento in esame. La seconda istanza ex art. 13, datata 9 gennaio 2002, si configura come mera richiesta di accesso ai dati e ad essa Crif S.p.a. ha fornito puntuale riscontro. L accertata inammissibilità del ricorso preclude ogni esame dei profili di merito proposti all attenzione di questa Autorità, mentre non pregiudica il diritto del ricorrente di esercitare rispetto ad essi i diritti di cui al citato art. 13, con specifica istanza. Procedimento relativo ai ricorsi 19
PER QUESTI MOTIVI: il Garante dichiara inammissibile il ricorso nei termini di cui in motivazione. Roma, 5 marzo 2002 IL RELATORE Paissan IL PRESIDENTE Rodotà IL SEGRETARIO GENERALE Buttarelli 20 Bollettino 26 Atti e provvedimenti
Procedimento relativo ai ricorsi Il Garante non è competente in tema di risarcimento danni Poiché la legge n. 675/1996 non attribuisce al Garante alcuna competenza sulla domanda di risarcimento dei danni derivanti dall'illecito trattamento di dati personali, è inammissibile il ricorso avente ad oggetto tale richiesta. IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI In data odierna, con la partecipazione del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dottor Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale; ESAMINATO il ricorso presentato dalla Sig.a XY nei confronti di Enel It S.p.A.; VISTA la documentazione in atti; VISTE le osservazioni formulate dal segretario generale ai sensi dell art. 15 del regolamento del Garante n. 1/2000; RELATORE il prof. Giuseppe Santaniello; PREMESSO: La ricorrente, impiegata presso Acea Distribuzione S.p.A., già Enel Distribuzione S.p.A., lamenta di non aver ricevuto riscontro ad una richiesta, formulata ai sensi dell art. 13 della legge n. 675, con la quale aveva chiesto a Enel It S.p.A. di conoscere il nominativo del responsabile del trattamento e di accedere, in forma intelligibile, a tutti i dati personali che la riguardano trattati e posseduti dal predetto titolare del trattamento. Con il ricorso proposto ai sensi dell art. 29 della legge n. 675/1996 l interessata ha ribadito la richiesta volta ad ottenere l accesso ai dati, chiedendo altresì il risarcimento dei danni ed il ristoro delle spese sostenute. All invito ad aderire spontaneamente a tali richieste, formulato il 26 febbraio 2002 ai sensi dell art. 20 del d.p.r. n. 501/1998, Enel It S.p.A. ha risposto con due note anticipate via fax rispettivamente il 6 ed il 13 marzo 2002 nelle quali ha asserito: - di gestire per conto della soc. Ape il sistema informativo per l amministrazione del personale intrattenendo rapporti esclusivamente con detta società avendo ricevuto da Ape la nomina a responsabile ai sensi della legge n. 675 ; - di svolgere tale attività avvalendosi di un sistema informativo le cui procedure informatiche girano sui sistemi di calcolo appartenenti alla medesima società ; - di essere responsabile per la gestione di tipo sistemistico e applicativo delle banche dati, ma di non avere alcuna responsabilità in ordine alla raccolta e all aggiornamento dei dati, funzioni che rientrerebbero Procedimento relativo ai ricorsi 21
nell esclusiva competenza di Ape; - che il personale di Enel It S.p.A. non è abilitato all interrogazione del sistema, se non per le fasi strettamente connesse al controllo del processo. L interessata, con nota dell 11 marzo 2002, ha espresso perplessità sui riscontri offerti dal titolare e sui trattamenti di dati dallo stesso svolti. CIÒ PREMESSO OSSERVA: Il ricorso verte sul trattamento dei dati personali dell interessata svolto da una società che si è qualificata nel caso di specie come asserito responsabile del trattamento ai sensi della legge n. 675/1996, in relazione ad una attività di supporto informatico che dichiara di svolgere per conto di un altro soggetto (società Ape) che sarebbe preposto all amministrazione dei dati dei dipendenti di Acea Distribuzione S.p.A. In relazione alla specifica richiesta dell interessata può essere dichiarato non luogo a provvedere sul ricorso ai sensi dell art. 20, comma 2, del d.p.r. n. 501/1998, avendo il destinatario della richiesta fornito un riscontro con il quale ha sostenuto di non avere la disponibilità effettiva e continuativa dei dati personali richiesti, svolgendo esclusivamente trattamenti occasionali e meramente strumentali di natura tecnica, che sarebbero effettuati nell ambito dell assistenza informatica offerta alla società Ape. Secondo le modalità operative descritte, gli operatori di Enel It S.p.A. non potrebbero operare autonomamente sui dati trattati intervenendo sul loro contenuto, come sarebbe invece consentito ad Acea Distribuzione S.p.A. e ad Ape, alle quali potranno quindi essere rivolte le specifiche richieste contemplate dall art. 13. Anche in relazione al ruolo non primario svolto nel trattamento dei dati dalla società resistente, sebbene il riscontro sia pervenuto dopo la presentazione del ricorso, sussistono giusti motivi per compensare le spese fra le parti. Deve essere invece dichiarata inammissibile la richiesta volta ad ottenere il risarcimento dei danni, non avendo la legge attribuito in merito competenze al Garante. Eventuali richieste di tipo risarcitorio potranno essere quindi proposte solo dinanzi al giudice ordinario. PER QUESTI MOTIVI IL GARANTE DICHIARA: - inammissibile il ricorso per quanto attiene alla richiesta di risarcimento dei danni; - non luogo a provvedere sul ricorso ai sensi dell art. 20, comma 2, del d.p.r. n. 501/1998 per quanto concerne le altre richieste formulate ai sensi dell art. 13 della legge n. 675; - compensate le spese fra le parti. Roma, 20 marzo 2002 IL RELATORE Santaniello IL PRESIDENTE Rodotà IL SEGRETARIO GENERALE Buttarelli 22 Bollettino 26 Atti e provvedimenti