Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Tutela dei dati personali - Legge 675/96

Il problema dell’identificazione del titolare del trattamento
di Daniele Coliva* - 15.12.97

Il Garante dei dati personali ha fornito un’interpretazione della legge 675/96 in punto alla individuazione del "titolare", vale a dire della "persona fisica, giuridica, pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento, ivi compreso il profilo della sicurezza" (art. 1 c. lett. d).
Il problema era stato posto con riferimento agli enti collettivi ovvero alla pubblica amministrazione, dal momento che la legge non sembrava sciogliere il dubbio se la qualifica di titolare fosse un predicato della struttura ovvero delle persone che ne sono i rappresentanti organici.

Nel comunicato dell’11 dicembre l’autorità garante si è espressa nel senso che titolare è la struttura nel suo complesso, e non le persone fisiche che la gestiscano o rappresentino.
La soluzione adottata appare in sintonia con il dato letterale della norma, il quale parla di persone fisiche e giuridiche, nonché di organismi in genere, tuttavia la soluzione solleva alcuni dubbi interpretativi di non poco rilievo.
Secondo il comunicato del garante, dunque, la posizione di titolare è inderogabilmente collegata al soggetto giuridico che pone in essere il trattamento e ne decide finalità e modalità; il meccanismo di imputazione dell’attività dovrà quindi essere mutuato dallo schema organizzativo in concreto adottato dall’ente con riguardo alle potestà decisionali delle singole articolazioni interne dell’ente. Così, in una società per azioni, competeranno al consiglio di amministrazione o all’amministratore delegato la sottoscrizione della notificazione e gli altri adempimenti tipicamente riservati al titolare, non da ultimo la nomina e la vigilanza sul responsabile.

Questa definizione del titolare rende ancor più delicata ed importante la figura del responsabile, unico soggetto chiaramente ed univocamente identificato, rendendo l’opzione della sua nomina quasi una scelta obbligata nelle strutture di una certa dimensione, al fine di garantire l’osservanza della disciplina.
I problemi più rilevanti scaturenti da questa figura del titolare saranno avvertiti in sede penale (come osservato da R. e R. Imperiali, Va oltre la legge 675 il titolare in enti e Pa, ne Il Sole 24 ore, 13 dicembre 1997, pag. 25). Sotto il profilo della responsabilità civile, infatti, i meccanismi di imputazione anche preesistenti (art. 2049 c.c.) consentono comunque l’individuazione di un soggetto responsabile. In campo penale, invece, il principio della personalità della responsabilità impone una particolare attenzione, posto che non è configurabile una responsabilità "per posizione" in difetto di precise disposizioni che attribuiscano ad un determinato soggetto doveri di controllo (le c.d. posizioni di garanzia in materia di prevenzione infortuni), dalle quali scaturiscano condotte esigibili la cui inosservanza possa essere oggetto di contestazione.
La situazione è poi aggravata dal fatto che il sistema sanzionatorio penale della legge 675 è essenzialmente doloso e pertanto non è configurabile una responsabilità per omesso controllo.

Si ripropone così il tema della delega di funzioni e della sua eventuale valenza liberatoria; quest’ultima può escludersi con riferimento all’art. 34 (omessa o infedele notificazione), dal momento che si tratta di un obbligo che la legge attribuisce espressamente al titolare? Se quest’ultimo è l’ente collettivo, secondo l’opinione del garante, e l’individuazione delle persone fisiche passa necessariamente attraverso la struttura organizzativa dell’ente medesimo, allora l’eventuale delega di funzioni costituirà un valido strumento di identificazione dell’autore del reato. Analogo ragionamento vale per il reato di cui all’art. 36 (omessa adozione delle misure di sicurezza) e di quello di cui all’art. 37 (inosservanza di provvedimenti del garante), trattandosi di precetti indirizzati a soggetti titolari di obblighi precisi.
In altri termini, la definizione del titolare quale emerge dal comunicato del garante solleva problemi in campo penalistico riguardo ai c.d. reati propri, mentre a mio avviso non sussistono difficoltà particolari per i reati comuni previsti dall’art. 35, nei quali è possibile configurare la responsabilità anche degli incaricati del trattamento per eventuali deviazioni dalle istruzioni impartite loro (ferma restando ovviamente la responsabilità civile dell’ente titolare, sia ex lege 675 che ex art. 2049 c.c.).

La questione è lontana dall’essere risolta e spero che queste brevi note a caldo costituiscano uno spunto per l’approfondimento del problema, con particolare riferimento alla delega, strumento ormai insostituibile nell’organizzazione delle imprese.

* Studio Legale Coliva, Bologna