<< Secondo la costante giurisprudenza di questa Corte l'elemento decisivo che contraddistingue il rapporto di lavoro subordinato dal lavoroautonomo è l'assoggettamento del lavoratore al potere direttivo, disciplinare e di controllo del datore di lavoro ed il conseguente inserimento del lavoratore in modo stabile ed esclusivo nell'organizzazione aziendale. Costituiscono poi indici sintomatici della subordinazione, valutabili dal giudice del merito sia singolarmente che complessivamente, l'assenza del rischio di impresa, la continuità della prestazione, l'obbligo di osservare un orario di lavoro, la cadenza e la forma della retribuzione, l'utilizzazione di strumenti di lavoro e lo svolgimento della prestazione in ambienti messi a disposizione dal datore di lavoro (vedi tra le tante Cass. n. 21028/2006, n. 4171/2006, n. 20669/2004) >>.
Giurisprudenza La presente sezione ha ad oggetto sentenze e altri provvedimenti venuti in rilievo relativamente ai casi e alle questioni trattati dallo studio legale A cura dell'Avvocato Giuseppe Briganti
Cassazione civile, sez. II, 21 febbraio 2008, n. 4523:
"Secondo la giurisprudenza di questa Suprema Corte, la tutela apprestata al committente dall'art. 1668 c.c., si inquadra nell'ambito della normale responsabilità contrattuale per inadempimento e, pertanto, qualora l'appaltatore non provveda direttamente alla eliminazione dei vizi e dei difetti dell'opera, il committente, ove non intenda ottenere l'affermazione giudiziale dell'inadempimento con la relativa condanna dell'appaltatore e l'attuazione dei suoi diritti nelle forme dell'esecuzione specifica ex art. 2931 c.c., può sempre chiedere il risarcimento del danno, nella misura corrispondente alla spesa necessaria alla eliminazione dei vizi, senza alcuna necessità del previo esperimento dell'azione di condanna alla esecuzione specifica (Cass. n. 11602/2002, n. 169/1996 ed altre conformi)".
Giurisprudenza La presente sezione ha ad oggetto sentenze e altri provvedimenti venuti in rilievo relativamente ai casi e alle questioni trattati dallo studio legale A cura dell'Avvocato Giuseppe Briganti
<< Con l'impugnata sentenza è stata confermata la dichiarazione di colpevolezza di . in ordine al reato p. e p. dagli artt. 81, 494 c.p., contestatogli "perchè, al fine di procurarsi un vantaggio e di recare un danno ad ..., creava un account di posta elettronica, ..., apparentemente intestato a costei, e successivamente, utilizzandolo, allacciava rapporti con utenti della rete internet al nome della ..., così induceva in errore sia il gestore del sito sia gli utenti, attribuendosi il falso nome della ...".
...
Oggetto della tutela penale,in relazione al delitto preveduto nell'art. 494 c.p. [sostituzione di persona], è l'interesse riguardante la pubblica fede, in quanto questa può essere sorpresa da inganni relativi alla vera essenza di una persona o alla sua indentità o ai suoi attributi sociali. E siccome si tratta di inganni che possono superare la ristretta cerchia d'un determinato destinatario, così il legislatore ha ravvisato in essi una costante insidia alla fede pubblica, e non soltanto alla fede privata e alla tutela civilistica del diritto al nome.
In questa prospettiva, è evidente la configurazione, nel caso concreto, di tutti gli elementi costitutivi della contestata fattispecie delittuosa >>.
Giurisprudenza La presente sezione ha ad oggetto sentenze venute in rilievo relativamente ai casi e alle questioni trattati dallo studio legale A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità
TLC e profilazione: le regole del Garante privacy a tutela dei clienti
Da oggi in poi le società telefoniche dovranno attenersi a regole chiare e ben definite se vorranno utilizzare i dati dei clienti per attività di profilazione.
Nel corso di numerose ispezioni il Garante ha verificato una impressionante attività di profilazione fatta dai gestori telefonici senza il consenso degli interessati. In pratica i dati dei clienti sono stati usati per profilare le loro abitudini, conoscere le loro preferenze, analizzare le loro spese telefoniche e molto altro.
É per questo che il Garante, con un provvedimento generale, ha stabilito le regole alle quali ci si dovrà attenere per un corretto uso dei dati personali a fini di profilazione nel settore delle telecomunicazioni.
Il Garante ha ribadito innanzitutto che i dati non possono essere utilizzati per questi scopi senza un'adeguata informativa e senza l'esplicito consenso degli interessati.
Il Garante ha chiarito inoltre che le stesse regole valgono in generale anche per i dati personali trattati in forma "aggregata". Tuttavia rispetto ai dati trattati in forma "aggregata" il Garante ha previsto che i gestori telefonici possano anche chiedere una specifica verifica preliminare, indicando le modalità del trattamento che intendono effettuare. Nell'ambito di tale verifica il Garante potrà valutare, caso per caso, se consentire tali trattamenti senza l'esplicito consenso degli interessati. Anche in questa ipotesi tuttavia dovrà essere data sempre una adeguata informativa ai clienti.
Infine il Garante ha dato tempo fino al 30 settembre prossimo affinché i gestori che già svolgono questa attività si mettano in regola, chiedendo al Garante la necessaria verifica.
Per le attività di profilazione che dovessero avere inizio dopo l'entrata in vigore del provvedimento, tutte le nuove regole dovranno essere immediatamente applicate.
Prescrizioni ai fornitori di servizi di comunicazione elettronica accessibili al pubblico che svolgono attività di profilazione - Provvedimento generale Garante privacy 25 giugno 2009
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Filippo Patroni Griffi, segretario generale;
VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito, "Codice") pubblicato nella Gazzetta Ufficiale della Repubblica Italiana n. 174 del 29 luglio 2003;
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
RELATORE il prof. Francesco Pizzetti;
PREMESSO
1. Considerazioni preliminari e attività istruttoria L'Autorità ha effettuato una serie di attività istruttorie, anche di carattere ispettivo, al fine di realizzare un monitoraggio sull'attività svolta dai fornitori di servizi di comunicazione elettronica accessibili al pubblico (di seguito "fornitori"), con l'intento di acquisire informazioni relative alle modalità che ciascun fornitore adotta per svolgere attività di "profilazione" della totalità dei propri clienti (c.d. "base clienti"), anche in relazione alla possibilità di classificare gli interessati in determinate categorie omogenee (cd. cluster).
I fornitori in questione, sono quelli che mettono a disposizione del pubblico servizi di comunicazione elettronica su reti pubbliche di comunicazione dove per "servizi di comunicazione elettronica" devono intendersi quelli consistenti, esclusivamente o prevalentemente, "nella trasmissione di segnali su reti di comunicazioni elettroniche" (art. 4, comma 2, lett. d) ed e), del Codice).
Dall'esame delle risultanze istruttorie è emerso che i fornitori effettuano attività di profilazione utilizzando dati personali che vengono anche aggregati secondo parametri predefiniti individuati da ciascun titolare di volta in volta, a seconda delle esigenze aziendali. Tali dati possono comprendere informazioni personali di tipo variegato, tra cui dati di carattere contrattuale e dati relativi ai consumi effettuati, dai quali è possibile desumere indicazioni ulteriori riferibili a ciascun interessato (ad esempio, fascia di consumo, livello di spesa sostenuto ad intervalli regolari, servizi attivi su ciascuna utenza).
La circostanza che un fornitore possa disporre e trattare, seppur su base aggregata, tali tipologie di dati, comporta la disponibilità di un patrimonio informativo che va ben al di là delle informazioni considerate singolarmente e relative a ciascun interessato. Attraverso il confronto e l'utilizzo dei dati dei propri clienti, è possibile, infatti, che il fornitore acquisisca informazioni concernenti il singolo utente o derivanti proprio dall'aggregazione dei dati e dalla loro catalogazione in cluster, al fine di monitorare l'andamento economico della società o, eventualmente, in un secondo momento, anche di progettare e realizzare campagne di marketing sulla base delle analisi effettuate.
2. Ambito oggettivo del provvedimento La profilazione costituisce una delle attività prevalenti dei fornitori, e, dunque, rientra nell'attività strutturale e sostanziale di tali soggetti (infatti, a partire dalle risultanze degli esami di business intelligence che ad essa sono naturalmente collegate, essi sono in grado di implementare la progettazione della propria struttura e dei servizi offerti).
I dati, che siano "anonimi" ai sensi dell'art. 4, comma 1, lett. n) del Codice esulano dall'ambito oggettivo del presente provvedimento.
L'attività di profilazione può concernere dati personali "individuali" o dati personali "aggregati" derivanti da dati personali individuali dettagliati (ad esempio, anagrafici e di traffico).
Il presente provvedimento, pertanto, riguarda le ipotesi in cui l'attività di profilazione abbia ad oggetto dati personali individuali e dati personali aggregati derivanti da dati personali individuali dettagliati.
Come si dirà di seguito, l'attività di profilazione che ha ad oggetto dati personali individuali, è consentita solo se, in base a quanto stabilito dall'art. 23 del Codice, il titolare sia in grado di documentare per iscritto un consenso informato, libero e specifico manifestato dall'interessato per tale finalità. Tale consenso ricomprende, ovviamente, anche il trattamento di dati personali aggregati.
Nell'eventualità in cui il fornitore intenda, invece, utilizzare per la profilazione dati personali aggregati, per i quali non risulti acquisito il consenso degli interessati, sarà necessario che presenti al Garante una richiesta di verifica preliminare, in quanto il trattamento presenta rischi specifici per l'interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che il trattamento può determinare.
Solo in quella sede, infatti, sarà possibile valutare, tra le altre condizioni, se sia possibile autorizzare il trattamento avente ad oggetto tali dati, anche in assenza del consenso degli interessati, ai sensi dell'art. 24, comma 1, lett. g) del Codice.
Il presente provvedimento non incide sulla disciplina, che resta immutata, di cui all'art. 123 del Codice, relativa alla conservazione dei dati per finalità di fatturazione e quella concernente la conservazione e sicurezza dei dati di traffico telefonico e telematico, per l'accertamento e repressione dei reati, prevista dall'art. 132 del Codice, dal d. lgs. n. 109 del 2008 e dal provvedimento di carattere generale adottato da questa Autorità in data 17 gennaio 2008, pubblicato in G.U. n. 30 del 5 febbraio 2008 e poi aggiornato con il provvedimento del 24 luglio 2008, pubblicato in G.U. n. 189 del 13 agosto 2008 (entrambi in www.garanteprivacy.it, docc. web nn. 1482111 e 1538224).
3. La profilazione con dati personali "individuali": consenso In ossequio ai principi di necessità (art. 3 del Codice) e di proporzionalità nel trattamento (art. 11 del Codice), l'attività di profilazione dovrebbe essere svolta utilizzando solo dati strettamente necessari al perseguimento della finalità e, in ogni caso, trattando solo dati per i quali, sulla base di quanto disposto dagli artt. 13 e 23 del Codice, il titolare abbia rilasciato una idonea informativa e sia in grado di documentare un consenso libero e specifico dell'interessato.
Tali principi si applicano non solo se la raccolta dei dati è specificamente effettuata dai fornitori per questa finalità, ma anche se l'attività di profilazione viene realizzata mediante dati inizialmente raccolti per una diversa finalità, ivi compresa quella dell'erogazione del servizio.
4. La profilazione con dati personali "aggregati": prior checking Qualora la profilazione abbia ad oggetto dati personali aggregati, occorre in primo luogo osservare che il livello di aggregazione è variabile e dipende dal dettaglio dei parametri stabiliti da ciascun titolare del trattamento.
Il rischio che può derivare all'interessato da tale trattamento deriva dalla profondità del livello di aggregazione impostato e dalle modalità tecniche con le quali viene effettuato il trattamento.
I dati personali aggregati oggetto di profilazione derivano, infatti, da dati personali individuali dettagliati, contenuti in una pluralità di sistemi, e tali restano nella disponibilità del titolare del trattamento, il quale è tenuto a conservarli per esigenze gestionali, finalità operative e tempi diversi, tra cui anche quelli che la legge gli impone (ad esempio, per esigenze di fatturazione, art. 123 del Codice, o per finalità di accertamento e repressione di reati, art. 132 del Codice e d. lg. 109 del 2008).
Pur in presenza di tale aggregazione, i dati non sono per ciò solo qualificabili anonimi e rientrano nella nozione di "dati personali", secondo la definizione dell'art. 4, comma 1, lett b) del Codice: la norma, infatti, qualifica come "dato personale" qualunque informazione relativa ad un soggetto, identificato o identificabile, anche indirettamente, mediante il riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
Pertanto, nell'eventualità in cui il fornitore intenda utilizzare per la profilazione dati personali aggregati, per i quali non risulti acquisito il consenso degli interessati, sarà necessario che presenti al Garante una richiesta di verifica preliminare.
Tale richiesta dovrà essere presentata in base al disposto dell'art. 17 del Codice, elencando nel dettaglio quali trattamenti intenda effettuare, specificando ciascuna finalità e indicando, altresì, le tipologie di dati che si intendono utilizzare.
A fronte di tale richiesta, il Garante con il provvedimento che renderà all'esito della procedura di verifica preliminare:
a) verificherà la sussistenza dei parametri e delle condizioni minime individuate con il presente provvedimento;
b) prescriverà le eventuali altre misure specifiche necessarie al fine di rendere il trattamento conforme alle disposizioni del Codice;
c) valuterà se autorizzare i fornitori ad effettuare l'attività di profilazione, in assenza del consenso degli interessati, ai sensi dell' art. 24, comma 1, lett. g), del Codice.
Si segnala sin d'ora che il Garante, in sede di verifiche preliminari, orienterà le proprie valutazioni anche in base ai seguenti parametri e condizioni minime:
1. i dati personali oggetto dell'attività di profilazione, ancorché possano derivare da dati originari dettagliati di cui il titolare continua a disporre per finalità gestionali ed esigenze operative previste anche per legge, siano esclusivamente dati personali aggregati, dai quali, nell'ambito dei sistemi dedicati alla profilazione, non sia possibile risalire immediatamente a informazioni dettagliate relative a singoli interessati;
2. i dati personali aggregati oggetto di profilazione siano contenuti in uno o più sistemi appositamente dedicati alla profilazione, funzionalmente separati dai sistemi originari che costituiscono la fonte del dato aggregato e da ulteriori eventuali sistemi utilizzati dal titolare per altre finalità (ad esempio marketing);
3. i dati personali aggregati oggetto dell'attività di profilazione, sia quando si riferiscano ad un interessato, sia quando si riferiscano ad una pluralità di interessati, siano sottoposti ad un processo in grado di impedire l'immediata identificabilità dei singoli interessati;
4. gli incaricati che svolgono l'attività di profilazione dispongano di un profilo di autenticazione limitato e diverso da quello di coloro che svolgono eventuali ulteriori attività, anche successive alla profilazione;
5. i dati personali oggetto dell'attività di profilazione siano conservati per un periodo di tempo limitato, decorso il quale devono essere cancellati.
5. Ulteriori obblighi Tranne che per gli aspetti disciplinati dal presente provvedimento, restano fermi, in capo ai fornitori, taluni obblighi.
In particolare, il fornitore che intenda procedere al trattamento di dati personali ("individuali" o "aggregati") per finalità di profilazione è tenuto, ai sensi dell'art. 37, comma 1, lett. d) del Codice a notificare, in ogni caso, al Garante tale trattamento, con le modalità indicate all'art. 38 del Codice.
Inoltre il titolare è in ogni caso tenuto a rendere, ai sensi dell'art. 13 del Codice, l'informativa agli interessati in relazione alle finalità perseguite e ai diritti riconosciuti agli interessati dall'art. 7 del Codice.
6. Sanzioni È utile rammentare che la mancata osservanza delle disposizioni richiamate nonché delle prescrizioni impartite può comportare l'applicazione delle sanzioni previste dagli artt. 161, 162, commi 2 bis e 2 ter, 163 e 164 bis, commi 2, 3 e 4 del Codice (disposizioni introdotte o modificate dalla legge 27 febbraio 2009, n. 14 di conversione, con modificazioni, del decreto legge n. 207 del 30 dicembre 2008).
L'art. 161 sanziona la mancata o inidonea informativa, stabilendo che la violazione delle disposizioni di cui all'art. 13, nel quale è indicato che le informazioni da rendere all'interessato devono includere anche le finalità per cui i dati sono trattati, ivi inclusa la profilazione, è punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro.
L'art. 163 sanziona l'omessa o incompleta notificazione prevedendo che chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione ai sensi degli artt. 37 e 38, ovvero indica in essa notizie incomplete, è punito con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro.
L'art. 162, comma 2 bis prevede che in caso di trattamento di dati personali effettuato in violazione delle disposizioni indicate nell'art. 167, il quale, al comma 2, comprende anche l'art. 17 è applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da ventimila euro a centoventimila euro. Inoltre, il comma 2 ter del medesimo articolo stabilisce che in caso di inosservanza dei provvedimenti di prescrizione di misure necessarie di cui all'art. 154, comma 1, lettera c), è applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro.
L'art. 164 bis, comma 2, stabilisce, infine, che in caso di più violazioni di un'unica o di più disposizioni relative a violazioni amministrative, commesse anche in tempi diversi, in relazione a banche di dati di particolare rilevanza o dimensioni, si applica la sanzione amministrativa del pagamento di una somma da cinquantamila euro a trecentomila euro: nei casi di maggiore gravità o considerando le condizioni economiche del contravventore, tale sanzione può essere aumentata (commi 3 e 4 del medesimo articolo).
TUTTO CIÒ PREMESSO IL GARANTE
fermo restando, per i fornitori che intendano effettuare un trattamento di dati personali, anche in forma "aggregata", per finalità di profilazione, l'obbligo di rendere, ai sensi dell'art. 13 del Codice, l'informativa agli interessati in relazione alle finalità perseguite e ai diritti riconosciuti agli interessati dall'art. 7 del Codice, nonché l'obbligo di notificare, ai sensi dell'art. 37, comma 1, lett. d) del Codice, al Garante tale trattamento, con le modalità indicate all'art. 38 del Codice,
PRESCRIVE
ai sensi degli artt. 143, comma 1, lett. b), 154, comma 1, lett. c) del Codice,
A) ai fornitori di servizi di comunicazione elettronica accessibili al pubblico che intendano svolgere attività di profilazione (anche in assenza di uno specifico consenso) utilizzando dati personali "aggregati", di formulare all'Autorità, mediante la procedura prevista dall'art. 17 del Codice, una richiesta di verifica preliminare con la quale siano specificati in maniera dettagliata i trattamenti che si intendono effettuare, indicando ciascuna finalità e le tipologie di dati che si intendono utilizzare;
B) ai fornitori di servizi di comunicazione elettronica accessibili al pubblico che, allo stato, svolgono attività di profilazione, in assenza di uno specifico consenso, utilizzando dati personali "aggregati", di formulare la richiesta di verifica preliminare di cui alla lettera A) entro il 30 settembre 2009.
Si dispone la trasmissione di copia del presente provvedimento al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana.
Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - provvedimento Garante privacy 27/11/2008 (GU 300 del 24/12/2008)
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del prof. Francesco Pizzetti,
presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del
dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del
dott. Giovanni Buttarelli, segretario generale;
Visto il Codice in materia di protezione dei dati personali (d.lg.
30 giugno 2003, n. 196) e, in particolare, gli articoli 31 ss. e 154,
comma 1, lettera c) e h), nonche' il disciplinare tecnico in materia
di misure minime di sicurezza di cui all'allegato B al medesimo
Codice;
Visti gli atti d'ufficio relativi alla protezione dei dati trattati
con sistemi informatici e alla sicurezza dei medesimi dati e sistemi;
Rilevata l'esigenza di intraprendere una specifica attivita'
rispetto ai soggetti preposti ad attivita' riconducibili alle
mansioni tipiche dei c.d. «amministratori di sistema», nonche' di
coloro che svolgono mansioni analoghe in rapporto a sistemi di
elaborazione e banche di dati, evidenziandone la rilevanza rispetto
ai trattamenti di dati personali anche allo scopo di promuovere
presso i relativi titolari e nel pubblico la consapevolezza della
delicatezza di tali peculiari mansioni nella «Societa'
dell'informazione» e dei rischi a esse associati;
Considerata l'esigenza di consentire piu' agevolmente, nei dovuti
casi, la conoscibilita' dell'esistenza di tali figure o di ruoli
analoghi svolti in relazione a talune fasi del trattamento
all'interno di enti e organizzazioni;
Ritenuta la necessita' di promuovere l'adozione di specifiche
cautele nello svolgimento delle mansioni svolte dagli amministratori
di sistema, unitamente ad accorgimenti e misure, tecniche e
organizzative, volti ad agevolare l'esercizio dei doveri di controllo
da parte del titolare (due diligence);
Constatato che lo svolgimento delle mansioni di un amministratore
di sistema, anche a seguito di una sua formale designazione quale
responsabile o incaricato del trattamento, comporta di regola la
concreta capacita', per atto intenzionale, ma anche per caso
fortuito, di accedere in modo privilegiato a risorse del sistema
informativo e a dati personali cui non si e' legittimati ad accedere
rispetto ai profili di autorizzazione attribuiti;
Rilevata la necessita' di richiamare l'attenzione su tale rischio
del pubblico, nonche' di persone giuridiche, pubbliche
amministrazioni e di altri enti [di seguito sinteticamente
individuati con l'espressione «titolari del trattamento»: art. 4,
comma 1, lettera f) del Codice] che impiegano, in riferimento alla
gestione di banche dati o reti informatiche, sistemi di elaborazione
utilizzati da una molteplicita' di incaricati con diverse funzioni,
applicative o sistemistiche;
Rilevato che i titolari sono tenuti, ai sensi dell'art. 31 del
Codice, ad adottare misure di sicurezza «idonee e preventive» in
relazione ai trattamenti svolti, dalla cui mancata o non idonea
predisposizione possono derivare responsabilita' anche di ordine
penale e civile (articoli 15 e 169 del Codice);
Constatato che l'individuazione dei soggetti idonei a svolgere le
mansioni di amministratore di sistema riveste una notevole
importanza, costituendo una delle scelte fondamentali che, unitamente
a quelle relative alle tecnologie, contribuiscono a incrementare la
complessiva sicurezza dei trattamenti svolti, e va percio' curata in
modo particolare evitando incauti affidamenti;
Considerato inoltre che, qualora ritenga facoltativamente di
designare uno o piu' responsabili del trattamento, il titolare e'
tenuto a individuare solo soggetti che «per esperienza, capacita' ed
affidabilita' forniscano idonea garanzia del pieno rispetto delle
vigenti disposizioni in materia di trattamento, ivi compreso il
profilo relativo alla sicurezza» (art. 29, comma 2, del Codice);
Ritenuto che i titolari di alcuni trattamenti effettuati in ambito
pubblico e privato a fini amministrativo-contabili, i quali pongono
minori rischi per gli interessati e sono stati pertanto oggetto di
recenti misure di semplificazione (art. 29 decreto-legge 25 giugno
2008, n. 112, convertito, con modifiche, con legge 6 agosto 2008, n.
133; art. 34 del Codice; provv. Garante 6 novembre 2008), debbano
essere allo stato esclusi dall'ambito applicativo del presente
provvedimento;
Viste le osservazioni dell'Ufficio formulate dal segretario
generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il prof. Francesco Pizzetti;
Premesso:
1. Considerazioni preliminari.
Con la definizione di «amministratore di sistema» si individuano
generalmente, in ambito informatico, figure professionali finalizzate
alla gestione e alla manutenzione di un impianto di elaborazione o di
sue componenti. Ai fini del presente provvedimento vengono pero'
considerate tali anche altre figure equiparabili dal punto di vista
dei rischi relativi alla protezione dei dati, quali gli
amministratori di basi di dati, gli amministratori di reti e di
apparati di sicurezza e gli amministratori di sistemi software
complessi.
Gli amministratori di sistema cosi' ampiamente individuati, pur non
essendo preposti ordinariamente a operazioni che implicano una
comprensione del dominio applicativo (significato dei dati, formato
delle rappresentazioni e semantica delle funzioni), nelle loro
consuete attivita' sono, in molti casi, concretamente «responsabili»
di specifiche fasi lavorative che possono comportare elevate
criticita' rispetto alla protezione dei dati.
Attivita' tecniche quali il salvataggio dei dati (backup/recovery),
l'organizzazione dei flussi di rete, la gestione dei supporti di
memorizzazione e la manutenzione hardware comportano infatti, in
molti casi, un'effettiva capacita' di azione su informazioni che va
considerata a tutti gli effetti alla stregua di un trattamento di
dati personali; cio', anche quando l'amministratore non consulti «in
chiaro» le informazioni medesime.
La rilevanza, la specificita' e la particolare criticita' del ruolo
dell'amministratore di sistema sono state considerate anche dal
legislatore il quale ha individuato, con diversa denominazione,
particolari funzioni tecniche che, se svolte da chi commette un
determinato reato, integrano ad esempio una circostanza aggravante.
Ci si riferisce, in particolare, all'abuso della qualita' di
operatore di sistema prevista dal codice penale per le fattispecie di
accesso abusivo a sistema informatico o telematico (art. 615-ter) e
di frode informatica (art. 640-ter), nonche' per le fattispecie di
danneggiamento di informazioni, dati e programmi informatici
(articoli 635-bis e ter) e di danneggiamento di sistemi informatici e
telematici (articoli 635-quater e quinques) di recente modifica (vedi
nota 1)
.
La disciplina di protezione dei dati previgente al Codice del 2003
definiva l'amministratore di sistema, individuandolo quale «soggetto
al quale e' conferito il compito di sovrintendere alle risorse del
sistema operativo di un elaboratore o di un sistema di banca dati e
di consentirne l'utilizzazione» [art. 1, comma 1, lettera c) decreto
del Presidente della Repubblica n. 318/1999].
Il Codice non ha invece incluso questa figura tra le proprie
definizioni normative. Tuttavia le funzioni tipiche
dell'amministrazione di un sistema sono richiamate nel menzionato
allegato B, nella parte in cui prevede l'obbligo per i titolari di
assicurare la custodia delle componenti riservate delle credenziali
di autenticazione. Gran parte dei compiti previsti nel medesimo
allegato B spettano tipicamente all'amministratore di sistema: dalla
realizzazione di copie di sicurezza (operazioni di backup e recovery
dei dati) alla custodia delle credenziali alla gestione dei sistemi
di autenticazione e di autorizzazione.
Nel loro complesso, le norme predette mettono in rilievo la
particolare capacita' di azione propria degli amministratori di
sistema e la natura fiduciaria delle relative mansioni, analoga a
quella che, in un contesto del tutto differente, caratterizza
determinati incarichi di custodia e altre attivita' per il cui
svolgimento e' previsto il possesso di particolari requisiti
tecnico-organizzativi, di onorabilita', professionali, morali o di
condotta, a oggi non contemplati per lo svolgimento di uno dei ruoli
piu' delicati della «Societa' dell'informazione» (vedi nota 2)
.
Nel corso delle attivita' ispettive disposte negli ultimi anni dal
Garante e' stato possibile rilevare quale importanza annettano ai
ruoli di system administrator (e di network administrator o database
administrator) la gran parte di aziende e di grandi organizzazioni
pubbliche e private, al di la' delle definizioni giuridiche,
individuando tali figure nell'ambito di piani di sicurezza o di
documenti programmatici e designandoli a volte quali responsabili.
In altri casi, non soltanto in organizzazioni di piccole
dimensioni, si e' invece riscontrata, anche a elevati livelli di
responsabilita', una carente consapevolezza delle criticita' insite
nello svolgimento delle predette mansioni, con preoccupante
sottovalutazione dei rischi derivanti dall'azione incontrollata di
chi dovrebbe essere preposto anche a compiti di vigilanza e controllo
del corretto utilizzo di un sistema informatico.
Con il presente provvedimento il Garante intende pertanto
richiamare tutti i titolari di trattamenti effettuati, anche in
parte, mediante strumenti elettronici alla necessita' di prestare
massima attenzione ai rischi e alle criticita' implicite
nell'affidamento degli incarichi di amministratore di sistema.
L'Autorita' ravvisa inoltre l'esigenza di individuare in questa
sede alcune prime misure di carattere organizzativo che favoriscano
una piu' agevole conoscenza, nell'ambito di organizzazioni ed enti
pubblici e privati, dell'esistenza di determinati ruoli tecnici,
delle responsabilita' connesse a tali mansioni e, in taluni casi,
dell'identita' dei soggetti che operano quali amministratori di
sistema in relazione ai diversi servizi e banche di dati.
2. Quadro di riferimento normativo.
Nell'ambito del Codice il presente provvedimento si richiama, in
particolare, all'art. 154, comma 1, lettera h), rientrando tra i
compiti dell'Autorita' quello di promuovere la «conoscenza tra il
pubblico della disciplina rilevante in materia di trattamento dei
dati personali e delle relative finalita', nonche' delle misure di
sicurezza dei dati».
La lettera c) del medesimo comma 1 prevede poi la possibilita', da
parte del Garante, di prescrivere misure e accorgimenti, specifici o
di carattere generale, che i titolari di trattamento sono tenuti ad
adottare.
3. Segnalazione ai titolari di trattamenti relativa alle funzioni di
amministratore di sistema.
Ai sensi del menzionato art. 154, comma 1, lettera h) il Garante,
nel segnalare a tutti i titolari di trattamenti di dati personali
soggetti all'ambito applicativo del Codice ed effettuati con
strumenti elettronici la particolare criticita' del ruolo degli
amministratori di sistema, richiama l'attenzione dei medesimi
titolari sulla necessita' di adottare idonee cautele volte a
prevenire e ad accertare eventuali accessi non consentiti ai dati
personali, in specie quelli realizzati con abuso della qualita' di
amministratore di sistema; richiama inoltre l'attenzione
sull'esigenza di valutare con particolare cura l'attribuzione di
funzioni tecniche propriamente corrispondenti o assimilabili a quelle
di amministratore di sistema, laddove queste siano esercitate in un
contesto che renda ad essi tecnicamente possibile l'accesso, anche
fortuito, a dati personali. Cio', tenendo in considerazione
l'opportunita' o meno di tale attribuzione e le concrete modalita'
sulla base delle quali si svolge l'incarico, unitamente alle qualita'
tecniche, professionali e di condotta del soggetto individuato, da
vagliare anche in considerazione delle responsabilita', specie di
ordine penale e civile (articoli 15 e 169 del Codice), che possono
derivare in caso di incauta o inidonea designazione.
4. Misure e accorgimenti prescritti ai titolari dei trattamenti
effettuati con strumenti elettronici.
Di seguito sono indicati gli accorgimenti e le misure che vengono
prescritti ai sensi dell'art. 154, comma 1, lettera c) del Codice, a
tutti i titolari dei trattamenti di dati personali effettuati con
strumenti elettronici, esclusi, allo stato, quelli effettuati in
ambito pubblico e privato a fini amministrativo-contabili che,
ponendo minori rischi per gli interessati, sono stati oggetto delle
recenti misure di semplificazione (art. 29 decreto-legge 25 giugno
2008, n. 112, convertito, con modifiche, con legge 6 agosto 2008, n.
133; art. 34 del Codice; provv. Garante 6 novembre 2008).
I seguenti accorgimenti e misure lasciano impregiudicata l'adozione
di altre specifiche cautele imposte da discipline di settore per
particolari trattamenti o che verranno eventualmente prescritte dal
Garante ai sensi dell'art. 17 del Codice.
Per effetto del presente provvedimento:
4.1. Valutazione delle caratteristiche soggettive.
L'attribuzione delle funzioni di amministratore di sistema deve
avvenire previa valutazione dell'esperienza, della capacita' e
dell'affidabilita' del soggetto designato, il quale deve fornire
idonea garanzia del pieno rispetto delle vigenti disposizioni in
materia di trattamento ivi compreso il profilo relativo alla
sicurezza.
Anche quando le funzioni di amministratore di sistema o assimilate
sono attribuite solo nel quadro di una designazione quale incaricato
del trattamento ai sensi dell'art. 30 del Codice, il titolare e il
responsabile devono attenersi comunque a criteri di valutazione
equipollenti a quelli richiesti per la designazione dei responsabili
ai sensi dell'art. 29.
4.2. Designazioni individuali.
La designazione quale amministratore di sistema deve essere in ogni
caso individuale e recare l'elencazione analitica degli ambiti di
operativita' consentiti in base al profilo di autorizzazione
assegnato.
4.3. Elenco degli amministratori di sistema.
Gli estremi identificativi delle persone fisiche amministratori di
sistema, con l'elenco delle funzioni ad essi attribuite, devono
essere riportati nel documento programmatico sulla sicurezza, oppure,
nei casi in cui il titolare non e' tenuto a redigerlo, annotati
comunque in un documento interno da mantenere aggiornato e
disponibile in caso di accertamenti anche da parte del Garante.
Qualora l'attivita' degli amministratori di sistema riguardi anche
indirettamente servizi o sistemi che trattano o che permettono il
trattamento di informazioni di carattere personale di lavoratori, i
titolari pubblici e privati nella qualita' di datori di lavoro sono
tenuti a rendere nota o conoscibile l'identita' degli amministratori
di sistema nell'ambito delle proprie organizzazioni, secondo le
caratteristiche dell'azienda o del servizio, in relazione ai diversi
servizi informatici cui questi sono preposti. Cio', avvalendosi
dell'informativa resa agli interessati ai sensi dell'art. 13 del
Codice nell'ambito del rapporto di lavoro che li lega al titolare,
oppure tramite il disciplinare tecnico la cui adozione e' prevista
dal provvedimento del Garante n. 13 del 1° marzo 2007 (in Gazzetta
Ufficiale 10 marzo 2007, n. 58); in alternativa si possono anche
utilizzare strumenti di comunicazione interna (a es., intranet
aziendale, ordini di servizio a circolazione interna o bollettini).
Cio', salvi i casi in cui tale forma di pubblicita' o di
conoscibilita' non sia esclusa in forza di un'eventuale disposizione
di legge che disciplini in modo difforme uno specifico settore.
Nel caso di servizi di amministrazione di sistema affidati in
outsourcing il titolare deve conservare direttamente e
specificamente, per ogni eventuale evenienza, gli estremi
identificativi delle persone fisiche preposte quali amministratori di
sistema.
4.4. Verifica delle attivita'.
L'operato degli amministratori di sistema deve essere oggetto, con
cadenza almeno annuale, di un'attivita' di verifica da parte dei
titolari del trattamento, in modo da controllare la sua rispondenza
alle misure organizzative, tecniche e di sicurezza rispetto ai
trattamenti dei dati personali previste dalle norme vigenti.
4.5. Registrazione degli accessi.
Devono essere adottati sistemi idonei alla registrazione degli
accessi logici (autenticazione informatica) ai sistemi di
elaborazione e agli archivi elettronici da parte degli amministratori
di sistema. Le registrazioni (access log) devono avere
caratteristiche di completezza, inalterabilita' e possibilita' di
verifica della loro integrita' adeguate al raggiungimento dello scopo
di verifica per cui sono richieste.
Le registrazioni devono comprendere i riferimenti temporali e la
descrizione dell'evento che le ha generate e devono essere conservate
per un congruo periodo, non inferiore a sei mesi.
5. Tempi di adozione delle misure e degli accorgimenti.
Per tutti i titolari dei trattamenti gia' iniziati o che avranno
inizio entro trenta giorni dalla data di pubblicazione nella Gazzetta
Ufficiale del presente provvedimento, le misure e gli accorgimenti di
cui al punto 4 dovranno essere introdotti al piu' presto e comunque
entro, e non oltre, il termine che e' congruo stabilire, in
centoventi giorni dalla medesima data.
Per tutti gli altri trattamenti che avranno inizio dopo il predetto
termine di trenta giorni dalla pubblicazione, gli accorgimenti e le
misure dovranno essere introdotti anteriormente all'inizio del
trattamento dei dati.
Tutto cio' premesso il Garante:
1. Ai sensi dell'art. 154, comma 1, lettera h) del Codice, nel
segnalare a tutti i titolari di trattamenti di dati personali
soggetti all'ambito applicativo del Codice ed effettuati con
strumenti elettronici la particolare criticita' del ruolo degli
amministratori di sistema, richiama l'attenzione dei medesimi
titolari sull'esigenza di valutare con particolare attenzione
l'attribuzione di funzioni tecniche propriamente corrispondenti o
assimilabili a quelle di amministratore di sistema (system
administrator), amministratore di base di dati (database
administrator) o amministratore di rete (network administrator),
laddove tali funzioni siano esercitate in un contesto che renda ad
essi tecnicamente possibile l'accesso, anche fortuito, a dati
personali. Cio', tenendo in considerazione l'opportunita' o meno di
tale attribuzione e le concrete modalita' sulla base delle quali si
svolge l'incarico, unitamente alle qualita' tecniche, professionali e
di condotta del soggetto individuato.
2. Ai sensi dell'art. 154, comma 1, lettera c) del Codice prescrive
l'adozione delle seguenti misure ai titolari dei trattamenti di dati
personali soggetti all'ambito applicativo del Codice ed effettuati
con strumenti elettronici, anche in ambito giudiziario e di forze di
polizia (articoli 46 e 53 del Codice), salvo per quelli effettuati in
ambito pubblico e privato a fini amministrativo-contabili che pongono
minori rischi per gli interessati e sono stati oggetto delle misure
di semplificazione introdotte di recente per legge (art. 29,
decreto-legge 25 giugno 2008, n. 112, convertito, con modifiche, con
legge 6 agosto 2008, n. 133; art. 34 del Codice; provv. Garante 6
novembre 2008):
a) Valutazione delle caratteristiche soggettive.
L'attribuzione delle funzioni di amministratore di sistema deve
avvenire previa valutazione delle caratteristiche di esperienza,
capacita' e affidabilita' del soggetto designato, il quale deve
fornire idonea garanzia del pieno rispetto delle vigenti disposizioni
in materia di trattamento, ivi compreso il profilo relativo alla
sicurezza.
Anche quando le funzioni di amministratore di sistema o assimilate
sono attribuite solo nel quadro di una designazione quale incaricato
del trattamento ai sensi dell'art. 30 del Codice, il titolare e il
responsabile devono attenersi comunque a criteri di valutazione
equipollenti a quelli richiesti per la designazione dei responsabili
ai sensi dell'art. 29;
b) Designazioni individuali.
La designazione quale amministratore di sistema deve essere
individuale e recare l'elencazione analitica degli ambiti di
operativita' consentiti in base al profilo di autorizzazione
assegnato.
c) Elenco degli amministratori di sistema.
Gli estremi identificativi delle persone fisiche amministratori di
sistema, con l'elenco delle funzioni ad essi attribuite, devono
essere riportati nel documento programmatico sulla sicurezza oppure,
nei casi in cui il titolare non e' tenuto a redigerlo, annotati
comunque in un documento interno da mantenere aggiornato e
disponibile in caso di accertamenti da parte del Garante.
Qualora l'attivita' degli amministratori di sistema riguardi anche
indirettamente servizi o sistemi che trattano o che permettono il
trattamento di informazioni di carattere personale dei lavoratori, i
titolari pubblici e privati sono tenuti a rendere nota o conoscibile
l'identita' degli amministratori di sistema nell'ambito delle proprie
organizzazioni, secondo le caratteristiche dell'azienda o del
servizio, in relazione ai diversi servizi informatici cui questi sono
preposti. Cio', avvalendosi dell'informativa resa agli interessati ai
sensi dell'art. 13 del Codice nell'ambito del rapporto di lavoro che
li lega al titolare, oppure tramite il disciplinare tecnico di cui al
provvedimento del Garante n. 13 del 1° marzo 2007 (in Gazzetta
Ufficiale 10 marzo 2007, n. 58) o, in alternativa, mediante altri
strumenti di comunicazione interna (ad es., intranet aziendale,
ordini di servizio a circolazione interna o bollettini). Cio', salvi
i casi in cui tali forme di pubblicita' o di conoscibilita' siano
incompatibili con diverse previsioni dell'ordinamento che
disciplinino uno specifico settore;
d) Servizi in outsourcing.
Nel caso di servizi di amministrazione di sistema affidati in
outsourcing il titolare deve conservare direttamente e
specificamente, per ogni eventuale evenienza, gli estremi
identificativi delle persone fisiche preposte quali amministratori di
sistema;
e) Verifica delle attivita'.
L'operato degli amministratori di sistema deve essere oggetto, con
cadenza almeno annuale, di un'attivita' di verifica da parte dei
titolari del trattamento, in modo da controllare la sua rispondenza
alle misure organizzative, tecniche e di sicurezza riguardanti i
trattamenti dei dati personali previste dalle norme vigenti.
f) Registrazione degli accessi.
Devono essere adottati sistemi idonei alla registrazione degli
accessi logici (autenticazione informatica) ai sistemi di
elaborazione e agli archivi elettronici da parte degli amministratori
di sistema. Le registrazioni (access log) devono avere
caratteristiche di completezza, inalterabilita' e possibilita' di
verifica della loro integrita' adeguate al raggiungimento dello scopo
per cui sono richieste. Le registrazioni devono comprendere i
riferimenti temporali e la descrizione dell'evento che le ha generate
e devono essere conservate per un congruo periodo, non inferiore a
sei mesi.
3. Dispone che le misure e gli accorgimenti di cui al punto 2 del
presente dispositivo siano introdotti, per tutti i trattamenti gia'
iniziati o che avranno inizio entro trenta giorni dalla data di
pubblicazione nella Gazzetta Ufficiale del presente provvedimento, al
piu' presto e comunque entro, e non oltre, il termine che e' congruo
stabilire in centoventi giorni dalla medesima data; per tutti gli
altri trattamenti che avranno inizio dopo il predetto termine di
trenta giorni dalla pubblicazione, gli accorgimenti e le misure
dovranno essere introdotti anteriormente all'inizio del trattamento
dei dati.
4. Dispone che copia del presente provvedimento sia trasmesso al
Ministero della giustizia - Ufficio pubblicazione leggi e decreti per
la sua pubblicazione nella Gazzetta Ufficiale della Repubblica
italiana.
Roma, 27 novembre 2008
Il presidente e relatore: Pizzetti
Il segretario generale: Buttarelli
(1) V., ad es., l'art. 5 legge 18 marzo 2008, n. 48, che prevede,
oltre a una maggiore pena, la procedibilita' d'uffico nel caso in cui
il reato sia commesso con «abuso della qualita' di operatore del
sistema».
(2) Per altro verso il legislatore, nell'intervenire in tema di
«Societa' dell'informazione», ha previsto che i certificatori di
firma elettronica, i quali sono preposti al trattamento dei dati
connessi al rilascio del certificato di firma, debbano possedere i
requisiti di onorabilita' richiesti ai soggetti che svolgono funzioni
di amministrazione, direzione e controllo presso banche, oltre ai
requisiti tecnici necessari per lo svolgimento della loro attivita'
(articoli 26, 27 e 29 del decreto legislativo 7 marzo 2005, n. 82).
Copyright www.iusreporter.it Ricerca giuridica e diritto delle nuove tecnologie
Note legali Testi senza carattere di ufficialità. Consultazione gratuita.
"...Poiché l'obbligo dei genitori di mantenere i figli (artt. 147 e 148 cod. civ.) sussiste per il solo fatto di averli generati e prescinde da qualsivoglia domanda, essendo sorto sin dalla nascita il diritto del figlio naturale ad essere mantenuto, istruito ed educato nei confronti di entrambi i genitori, il genitore naturale non può sottrarsi alla sua obbligazione nei confronti del figlio per la quota posta a suo carico, ma è tenuto a provvedere sin dal momento della nascita (Cass. civ., Sez. I, 02/02/2006, n. 2328).
Il riconoscimento del figlio naturale comporta, tra l'altro, a carico di entrambi i genitori, l'obbligo di mantenimento senza che rilevi la circostanza che gli stessi siano o meno conviventi. Pertanto, ove uno dei genitori abbia provveduto integralmente al detto mantenimento (o oltre la misura delle proprie sostanze) lo stesso ha diritto di agire in regresso per il recupero della quota del genitore inadempiente, secondo le regole generali dei rapporti tra condebitori solidali, senza che sia configurabile un caso di gestione di affari altrui e a prescindere, altresì dall'epoca in cui il rapporto di filiazione, nei confronti dell'inadempiente, sia stato accertato o riconosciuto. Ha diritto, dunque, al rimborso il genitore che ha da solo provveduto alla cura del figlio naturale, che si configura come diritto di regresso tra condebitori solidali. (Cass. civ., Sez. I, 22/11/2000, n. 15063; App. Roma, 22/11/2006 )..."
Tribunale di Tivoli, sentenza n. 1178/2008 del 30/08/2008, dep. 8/09/2008
Sentenza segnalata dall'Avv. Evandro Senatra
Copyright www.iusreporter.it Ricerca giuridica e diritto delle nuove tecnologie Note legali Testi senza carattere di ufficialità
Linee guida in materia di trattamento di dati personali da parte dei consulenti tecnicie dei periti ausiliari del giudice e del pubblico ministero Gazzetta Ufficiale n. 178 del 31 luglio 2008
Registro delle deliberazioni Del. n. 46 del 26 giugno 2008
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;
VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196), anche in riferimento all'art. 154, comma 1, lett. h);
RITENUTA la necessità di provvedere in relazione ai rischi connessi al trattamento di dati personali effettuato da consulenti tecnici e periti ausiliari del giudice e del pubblico ministero nell'ambito di procedimenti in sede civile, penale e amministrativa;
RILEVATA l'esigenza di individuare un quadro unitario di misure e di accorgimenti necessari e opportuni, volti a fornire orientamenti utili per i professionisti interessati;
VISTE le pertinenti disposizioni del codice di procedura civile (in particolare gli articoli da 61 a 64 e da 191 a 200) e del codice di procedura penale (in particolare gli articoli da 220 a 232, 359 e 360);
VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante, n. 1/2000;
RELATORE il dott. Giuseppe Chiaravalloti;
DELIBERA:
di adottare le "Linee guida" contenute nel documento allegato quale parte integrante della presente deliberazione;
di inviare copia del presente provvedimento al Ministero della giustizia e al Consiglio superiore della magistratura, per opportuna conoscenza nonché – per quanto di rispettiva competenza – per l'adozione di ogni iniziativa ritenuta idonea alla massima diffusione presso gli uffici giudiziari interessati;
ai sensi dell'art. 143, comma 2, del Codice, di trasmettere al Ministero della giustizia-Ufficio pubblicazione leggi e decreti copia del presente provvedimento, unitamente alle menzionate "Linee guida", per la loro pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana.
Roma, 26 giugno 2008
IL PRESIDENTE Pizzetti
IL RELATORE Chiaravalloti
IL SEGRETARIO GENERALE Buttarelli
Linee guida in materia di trattamento di dati personali da parte dei consulenti tecnici e dei periti ausiliari del giudice e del pubblico ministero (Deliberazione n. 46 del 26 giugno 2008 - Gazzetta Ufficiale n. 178 del 31 luglio 2008)
1. Premessa 1.1 Scopo delle linee guida I consulenti tecnici e i periti ausiliari del giudice e del pubblico ministero coadiuvano e assistono l'autorità giudiziaria nello svolgimento delle proprie funzioni, quando ciò si rende necessario per compiere atti o esprimere valutazioni che richiedono particolari e specifiche competenze tecniche (art. 61 c.p.c.; artt. 220 e 359 c.p.p.).
L'attività svolta dai consulenti tecnici e dai periti è strettamente connessa e integrata con l'attività giurisdizionale, di cui mutua i compiti e le finalità istituzionali.
Nell'espletamento delle relative incombenze, il consulente e il perito di regola vengono a conoscenza e devono custodire, contenuti nella documentazione consegnata dall'ufficio giudiziario, anche dati personali di soggetti coinvolti a diverso titolo nelle vicende giudiziarie (quali le parti di un giudizio civile o le persone sottoposte a procedimento penale), e possono acquisire altre informazioni di natura personale nel corso delle operazioni (cfr. ad esempio, art. 194 c.p.c., richiesta di chiarimenti alle parti e assunzione di informazioni presso terzi; art. 228, comma 3, c.p.p., richiesta di notizie all'imputato, alla persona offesa o ad altre persone). L'attività dell'ausiliario comporta quindi il trattamento di diversi dati personali, talvolta di natura sensibile o di carattere giudiziario (art. 4, comma 1, lettere d) ed e) del Codice), di uno o più soggetti, persone fisiche o giuridiche.
A tali trattamenti, in quanto direttamente correlati alla trattazione giudiziaria di affari e di controversie, si applicano le norme del Codice relative ai trattamenti effettuati presso uffici giudiziari di ogni ordine e grado "per ragioni di giustizia" (art. 47, comma 2, del Codice; cfr. Provv. del Garante 31 dicembre 1998, doc. web n. 39608; Provv. 27 marzo 2002, doc. web n. 1063421).
Le presenti linee guida mirano a fornire indicazioni di natura generale ai professionisti nominati consulenti tecnici e periti dall'autorità giudiziaria nell'ambito di procedimenti civili, penali e amministrativi al fine esclusivo di garantire il rispetto dei princìpi in materia di protezione dei dati personali ai sensi del Codice in materia protezione dei dati personali (d.lg. 30 giugno 2003, n. 196).
1.2 Ambito considerato Le predette indicazioni non incidono sulle forme processuali che gli ausiliari devono rispettare nello svolgimento delle attività e nell'adempimento degli obblighi derivanti dall'incarico e dalle istruzioni ricevuti dall'autorità giudiziaria, come disciplinati dalle pertinenti disposizioni codicistiche.
All'interno del paragrafo 6. sono poi formulate alcune indicazioni applicabili anche ai trattamenti di dati personali effettuati dai soggetti nominati consulenti tecnici dalle parti private con riferimento a procedimenti giudiziari (artt. 87, 194, 195 e 201 c.p.c.; artt. 225 e ss., 233 e 360 c.p.p.).
2. Il rispetto dei princìpi di protezione dei dati personali 2.1 Considerazioni generali La peculiare disciplina posta dal Codice con riguardo ai trattamenti svolti per ragioni di giustizia (art. 47) rende non applicabili alcune disposizioni del medesimo Codice relative alle modalità di esercizio dei diritti da parte dell'interessato (art. 9), al riscontro da fornire al medesimo (art. 10), ai codici di deontologia e di buona condotta (art. 12), all'informativa agli interessati (art. 13), alla cessazione del trattamento (art. 16), al trattamento svolto da soggetti pubblici (artt. da 18 a 22), alla notificazione al Garante (artt. 37 e 38, commi da 1 a 5), a determinati obblighi di comunicazione all'Autorità, alle autorizzazioni e al trasferimento dei dati all'estero (artt. da 39 a 45), nonché ai ricorsi al Garante (artt. da 145 a 151).
Sono invece pienamente applicabili le altre pertinenti disposizioni del Codice. In particolare, il trattamento dei dati effettuato a cura di consulenti tecnici e periti deve avvenire:
nel rispetto dei princìpi di liceità e che riguardano la qualità dei dati (art. 11);
adottando le misure di sicurezza idonee a preservare i dati da alcuni eventi, tra i quali accessi e utilizzazioni indebite (artt. 31 e ss. e disciplinare tecnico allegato B) al Codice).
2.2 Liceità, finalità, esattezza, pertinenza Il consulente e il perito possono trattare lecitamente dati personali, nei limiti in cui ciò è necessario per il corretto adempimento dell'incarico ricevuto e solo nell'ambito dell'accertamento demandato dall'autorità giudiziaria; devono rispettare, altresì, le disposizioni sulle funzioni istituzionali della medesima autorità giudiziaria contenute in leggi e regolamenti, avvalendosi in particolare di informazioni personali e di modalità di trattamento proporzionate allo scopo perseguito (art. 11, comma 1, lett. a) e b)), nel rigoroso rispetto delle istruzioni impartite dall'autorità giudiziaria.
In tale quadro, l'eventuale utilizzo incrociato di dati può ritenersi consentito se è chiaramente collegato alle indagini delegate ed è stato autorizzato dalle singole autorità giudiziarie dinanzi alle quali pendono i procedimenti o, se questi si sono conclusi, che ebbero a conferire l'incarico o da altra autorità giudiziaria competente.
Nel pieno rispetto dell'ambito e della natura dell'incarico ricevuto, il consulente e il perito sono tenuti ad acquisire, utilizzare e porre a fondamento delle proprie operazioni e valutazioni informazioni personali che, con riguardo all'oggetto dell'indagine da svolgere, siano idonee a fornire una rappresentazione (finanziaria, sanitaria, patrimoniale, relazionale, ecc.) corretta, completa e corrispondente ai dati di fatto anche quando vengono espresse valutazioni soggettive di ciascun interessato, persona fisica o giuridica. Ciò, non solo allo scopo di fornire un riscontro esauriente in relazione al compito assegnato, ma anche al fine di evitare che, da un quadro inesatto o comunque inidoneo di informazioni possa derivare nocumento all'interessato, anche nell'ottica di una non fedele rappresentazione della sua identità (art. 11, comma 1, lett. c)).
Particolare attenzione deve essere inoltre posta dal consulente e dal perito nell'acquisire e utilizzare solo le informazioni che risultino effettivamente necessarie in riferimento alle specifiche finalità di accertamento perseguite. In ossequio al principio di pertinenza nel trattamento dei dati, le relazioni e le informative fornite al magistrato ed eventualmente alle parti non devono né riportare dati, specie se di natura sensibile o di carattere giudiziario o comunque di particolare delicatezza, chiaramente non pertinenti all'oggetto dell'accertamento peritale, né contenere ingiustificatamente informazioni personali relative a soggetti estranei al procedimento (art. 11, comma 1, lett. d)).
3. Comunicazione dei dati Le informazioni personali acquisite nel corso dell'accertamento possono essere comunicate alle parti, come rappresentate nel procedimento (ad esempio, attraverso propri consulenti tecnici), con le modalità e nel rispetto dei limiti fissati dalla pertinente normativa posta a tutela della segretezza e riservatezza degli atti processuali. Fermo l'obbligo per l'ausiliare di mantenere il segreto sulle operazioni compiute (art. 226 c.p.p.; cfr. anche art. 379-bis c.p.), eventuali comunicazioni di dati a terzi, ove ritenute indispensabili in funzione del perseguimento delle finalità dell'indagine, restano subordinate a quanto eventualmente direttamente stabilito per legge o, comunque, a preventive e specifiche autorizzazioni rilasciate dalla competente autorità giudiziaria.
4. Conservazione e cancellazione dei dati In riferimento ai trattamenti di dati svolti per ragioni di giustizia non è applicabile la disposizione del Codice (art. 16) relativa alla cessazione del trattamento di dati personali, evenienza che, nel caso del trattamento effettuato dal consulente e dal perito, di regola coincide con l'esaurimento dell'incarico.
Trova, peraltro, applicazione anche ai trattamenti di dati personali effettuati per ragioni di giustizia il dettato dell'art. 11, comma 1, lett. e), del Codice il quale prevede che i dati non possono essere conservati per un periodo di tempo superiore a quello necessario al perseguimento degli scopi per i quali essi sono stati raccolti e trattati.
Ne consegue che, espletato l'incarico e terminato quindi il connesso trattamento delle informazioni personali, l'ausiliario deve consegnare per il deposito agli atti del procedimento non solo la propria relazione, ma anche la documentazione consegnatagli dal magistrato e quella ulteriore acquisita nel corso dell'attività svolta, salvo quanto eventualmente stabilito da puntuali disposizioni normative o da specifiche autorizzazioni dell'autorità giudiziaria che dispongano legittimamente ed espressamente in senso contrario.
Ove non ricorrano tali ultime due ipotesi, il consulente e il perito non possono quindi conservare, in originale o in copia, in formato elettronico o su supporto cartaceo, informazioni personali acquisite nel corso dell'incarico concernenti i soggetti, persone fisiche o giuridiche, nei cui confronti hanno svolto accertamenti.
Analogamente, la documentazione acquisita nel corso delle operazioni peritali deve essere restituita integralmente al magistrato in caso di revoca o di rinuncia all'incarico da parte dell'ausiliario.
Qualora sia prevista una conservazione per adempiere a uno specifico obbligo normativo (ad esempio, in materia fiscale o contabile), possono essere custoditi i soli dati personali effettivamente necessari per adempiere tale obbligo.
Eventuali, ulteriori informazioni devono essere quindi cancellate, oppure trasformate in forma anonima anche per finalità scientifiche o statistiche, tale da non poter essere comunque riferita a soggetti identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione (art. 4, comma 1, lett. b), del Codice).
Tutto ciò non pregiudica l'espletamento di eventuali ulteriori attività dell'ausiliare, conseguenti a richieste di chiarimenti o di supplementi di indagine, che il consulente e il perito possono soddisfare acquisendo dal fascicolo processuale, in conformità alle regole poste dai codici di rito, la documentazione necessaria per fornire i nuovi riscontri.
5. Misure di sicurezza 5.1 Misure idonee e misure minime Limitatamente all'espletamento degli accertamenti, l'attività dell'ausiliare è connotata da peculiari caratteri di autonomia, in relazione alla natura squisitamente tecnica delle indagini che si svolgono, di regola, senza l'intervento del magistrato.
Ricevuto l'incarico e sino al momento della consegna al giudice o al pubblico ministero delle risultanze dell'attività svolta, incombono concretamente al consulente tecnico e al perito, riguardo ai dati personali acquisiti all'atto dell'incarico e alle ulteriori informazioni raccolte nel corso delle operazioni, le responsabilità e gli obblighi relativi al profilo della sicurezza prescritti dal Codice.
L'ausiliare è tenuto quindi a impiegare tutti gli accorgimenti idonei a evitare un'indebita divulgazione delle informazioni e, al contempo, la loro perdita o distruzione, adottando, a tal fine, le misure atte a garantire la sicurezza dei dati e dei sistemi eventualmente utilizzati. Egli deve curare personalmente, con il grado di autonomia riconosciuto per legge o con l'incarico ricevuto, sia le "misure idonee e preventive" cui fa riferimento l'art. 31 del Codice, sia le "misure minime" specificamente indicate negli articoli da 33 a 35 e nel disciplinare tecnico allegato B) al Codice, la cui mancata adozione costituisce fattispecie penalmente sanzionata (art. 169 del Codice). Ove reso necessario dal trattamento di dati sensibili o giudiziari effettuato con l'ausilio di strumenti elettronici, nell'ambito delle misure minime (art. 33, comma 1, lett. g) del Codice) deve essere redatto il documento programmatico sulla sicurezza, con le modalità e i contenuti previsti al punto 19. del citato disciplinare tecnico.
5.2 Incaricati L'obbligo di preporre alla custodia e al trattamento dei dati personali raccolti nel corso dell'accertamento solo il personale specificamente incaricato per iscritto resta fermo anche nel caso in cui il consulente e il perito si avvalgano dell'opera di collaboratori, anche se addetti a compiti di collaborazione amministrativa (art. 30 del Codice). L'attività di tali incaricati deve essere oggetto di precise istruzioni oltre che sulle modalità e sull'ambito del trattamento consentito, anche in ordine alla scrupolosa osservanza della riservatezza relativamente ai dati di cui vengono a conoscenza.
6. I consulenti tecnici di parte nei procedimenti giudiziari Ferma restando ogni altra disposizione contenuta nel Codice, nei provvedimenti generali adottati dal Garante e in un codice deontologico concernente le condizioni e i limiti applicabili ai trattamenti di dati personali effettuati dai consulenti tecnici di parte nei procedimenti giudiziari, anche a tali trattamenti trovano applicazione i princìpi di liceità e che riguardano la qualità dei dati (art. 11 del Codice) e le disposizioni in materia di misure di sicurezza volte alla protezione dei dati stessi (artt. 31 e ss. e disciplinare tecnico allegato B) al Codice).
In particolare, il consulente di parte:
può trattare lecitamente i dati personali nei limiti in cui ciò è necessario per il corretto adempimento dell'incarico ricevuto dalla parte o dal suo difensore ai fini dello svolgimento delle indagini difensive di cui alla legge n. 397/2000 o, comunque, per far valere o difendere un diritto in sede giudiziaria (art. 11, comma 1, lett. a) e b)); dati sensibili o giudiziari possono essere utilizzati solo se ciò è indispensabile;
può acquisire e utilizzare solo i dati personali comunque pertinenti e non eccedenti rispetto alle finalità perseguite con l'incarico ricevuto, avvalendosi di informazioni personali e di modalità di trattamento proporzionate allo scopo perseguito (art. 11, comma 1, lett. d));
salvi i divieti di legge posti a tutela della segretezza e riservatezza delle informazioni acquisite nel corso di un procedimento giudiziario (cfr., ad esempio, l'art. 379-bis c.p.p.) e i limiti e i doveri derivanti dal segreto professionale e dal fedele espletamento dell'incarico ricevuto (cfr. artt. 380 e 381 c.p.), può comunicare a terzi dati personali solo ove ciò risulti necessario per finalità di tutela dell'assistito, limitatamente ai dati strettamente funzionali all'esercizio del diritto di difesa della parte e nel rispetto dei diritti e della dignità dell'interessato e di terzi;
relativamente ai dati personali acquisiti e trattati nell'espletamento dell'incarico ricevuto da una parte, assume personalmente le responsabilità e gli obblighi relativi al profilo della sicurezza prescritti dal Codice, relativamente sia alle "misure idonee e preventive" (art. 31) sia alle "misure minime" (artt. da 33 a 35 e disciplinare tecnico allegato B) al Codice; art. 169 del Codice); ove l'incarico comporti il trattamento con strumenti elettronici di dati sensibili o giudiziari, è tenuto a redigere il documento programmatico sulla sicurezza (art. 33, comma 1, lett. g) e punto 19. del disciplinare tecnico allegato B));
deve incaricare per iscritto gli eventuali collaboratori, anche se adibiti a mansioni di carattere amministrativo, che siano addetti alla custodia e al trattamento, in qualsiasi forma, dei dati personali (art. 30 del Codice), impartendo loro precise istruzioni sulle modalità e l'ambito del trattamento loro consentito e sulla scrupolosa osservanza della riservatezza dei dati di cui vengono a conoscenza.
Semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrative e contabili- 19 giugno 2008 (*)
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;
Visto il Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196) e ritenuta l'opportunità di promuovere alcune misure di semplificazione per l'intero settore pubblico e privato in relazione alle correnti attività amministrative e contabili, in particolare nei riguardi di piccole e medie imprese, liberi professionisti e artigiani;
Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il prof. Francesco Pizzetti;
PREMESSO
1. Esigenze alla base di nuove misure di semplificazione Presso vari operatori si avverte l'esigenza di alcune semplificazioni nell'applicazione della disciplina sulla protezione dei dati personali.
La riflessione in ambito pubblico e privato è avvertita in modo particolare presso piccole e medie imprese, liberi professionisti e artigiani, per quanto riguarda la gestione di informazioni attinenti ad altre imprese, amministrazioni, clienti, fornitori e dipendenti utilizzate, anche in relazione a obblighi contrattuali e normativi, per correnti finalità amministrative e contabili.
Sulla base dell'esperienza acquisita in materia vengono prospettate alcune criticità rispetto a determinate modalità per adempiere a obblighi di legge o derivanti da un contratto, avvertite come troppo onerose in rapporto alle garanzie per gli interessati.
Il Garante ha completato un'analisi approfondita della problematica. In aggiunta alle misure di semplificazione disposte con decisioni per casi specifici, l'Autorità ha intrapreso varie iniziative, anche sulla base di un dialogo con le categorie interessate, che ha già comportato l'approvazione di un provvedimento di carattere generale ("Guida pratica e misure di semplificazione per le piccole e medie imprese", Provv. 24 maggio 2007, n. 21, in G.U. 21 giugno 2007, n. 142 e doc. web n. 1412271).
Dall'istruttoria sono emerse tre valutazioni di fondo:
a) alcune modalità applicative, seguite soprattutto presso piccole imprese, liberi professionisti e artigiani, sono ancora basate su approcci prettamente burocratici e di ordine puramente formale. Istituti posti a garanzia degli interessati vengono banalizzati in contrasto con lo spirito del Codice che intende assicurare una protezione elevata dei diritti e delle libertà fondamentali "nel rispetto dei princìpi di semplificazione, armonizzazione ed efficacia" (art. 2, comma 2). Da tali prassi conseguono adempimenti superflui o ripetuti inutilmente, talvolta anche per effetto di erronee valutazioni fornite in sede di consulenza, con oneri organizzativi da cui non deriva un reale valore aggiunto ai fini della correttezza e della trasparenza del trattamento e che gli interessati avvertono con disinteresse o fastidio;
b) è possibile apportare ulteriori semplificazioni (in particolare per agevolare la corrente attività gestionale di organismi pubblici e privati di ridotte dimensioni), in aggiunta a quelle già introdotte per legge o da questa Autorità e in armonia con la disciplina complessiva, anche comunitaria, della materia, salvaguardando i diritti e le libertà fondamentali dei cittadini;
c) la protezione dei dati personali può rappresentare una risorsa, anche per piccole e medie imprese, rendere più efficiente l'attività gestionale e incrementare la fiducia degli interessati.
L'Autorità intende fornire un suo nuovo contributo in materia esercitando le attribuzioni che le sono conferite per legge.
Con il presente provvedimento sono pertanto individuate soluzioni concrete volte ad agevolare ulteriormente l'ordinaria attività di gestione amministrativa e contabile, in modo particolare rispetto ai casi in cui non sono trattati dati di carattere sensibile o giudiziario. Di seguito, vengono quindi enunciate nuove linee guida-interpretative della normativa vigente e sono individuate alcune modalità innovative per semplificare taluni adempimenti, in modo particolare per l'informativa agli interessati e il consenso.
2. L'informativa agli interessati Diverse realtà, specie imprenditoriali di piccole e medie dimensioni, trattano dati, anche in relazione a obblighi contrattuali, precontrattuali o di legge, esclusivamente per finalità di ordine amministrativo e contabile (gestione di ordinativi, buste paga e di ordinaria corrispondenza con clienti, fornitori, realtà esterne di supporto anche in outsourcing, dipendenti); spesso, ciò accade in relazione a informazioni che non hanno carattere sensibile o giudiziario.
Alcune tra le criticità menzionate riguardano le modalità con cui l'informativa è fornita per iscritto, anziché oralmente (art. 13). Sono stati formati spesso moduli lunghi e burocratici, privi di comunicatività e basati sull'eccessivo uso di espressioni prettamente giuridiche, inidonee a far comprendere le caratteristiche principali del trattamento. Alla mancanza di chiarezza si è sommata l'inutile ripetizione dell'informativa in occasione di ciascun contatto con gli interessati, frazionando le spiegazioni che andrebbero invece fornite in modo organico e possibilmente unitario.
Il Garante intende prescrivere a tutti i titolari in ambito privato e pubblico alcune misure opportune e formulare indicazioni per semplificare l'informativa nei termini di cui al seguente dispositivo (artt. 2, comma 2, 13, commi 3 e 5 e 154, comma 1, lett. c)).
3. Il consenso Il Garante, con riferimento al consenso (art. 23), considerati i princìpi di efficacia e proporzionalità e in relazione agli artt. 2, 18, 24 comma 1 e 154, comma 1, lett. c), del Codice, intende anche prescrivere a tutti i titolari del trattamento pubblici e privati alcune misure opportune affinché non richiedano il consenso nei vari casi in cui esso non deve essere richiesto (dai soggetti pubblici) o è superfluo (per i soggetti privati). Ciò, in particolare, quando:
a) il trattamento dei dati in ambito privato è svolto per adempiere a obblighi contrattuali o normativi o, comunque, per ordinarie finalità amministrative e contabili;
b) i dati trattati provengono da pubblici registri ed elenchi pubblici conoscibili da chiunque o sono relativi allo svolgimento di attività economiche dell'interessato (v., per i presupposti relativi a ciascuno dei predetti casi, l'art. 24, comma 1; v. anche l'art. 18, comma 4).
Il Garante, in applicazione dell'istituto del bilanciamento degli interessi (art. 24, comma 1, lett. g)) intende anche individuare un'ulteriore ipotesi nella quale il consenso non va richiesto.
Il titolare del trattamento che abbia già venduto un prodotto o prestato un servizio a un interessato, nel quadro dello svolgimento di ordinarie finalità amministrative e contabili, potrà utilizzare nei termini di cui al seguente dispositivo i recapiti (oltre che di posta elettronica, come già previsto per legge: art. 130, comma 4) di posta cartacea forniti dall'interessato medesimo, per inviare ulteriore suo materiale pubblicitario o promuovere una sua vendita diretta o per compiere sue ricerche di mercato o di comunicazione commerciale.
Tale bilanciamento degli interessi considera le difficoltà rappresentate da alcuni operatori economici nel conservare un proprio diretto "canale comunicativo" con i soggetti con i quali abbiano già instaurato un rapporto contrattuale; tiene al tempo stesso conto del diritto dell'interessato a non essere disturbato mediante comunicazioni promozionali, in base a garanzie analoghe a quelle previste, per la situazione appena indicata, per l'uso della posta elettronica (art. 130, comma 4; v. anche, con riguardo alle comunicazioni postali, l' art. 58, comma 2, d.lg. n. 206/2005).
Non è necessario rivolgere un'istanza al Garante per avvalersi delle opportunità previste dal presente punto 3.
Viene infine dato atto nel seguente dispositivo di alcune altre risultanze dell'istruttoria relative alla designazione degli incaricati del trattamento e alla notificazione dei trattamenti.
TUTTO CIÒ PREMESSO IL GARANTE
1) ai sensi degli artt. 2, comma 2, 13, commi 3 e 5 e 154, comma 1, lett. c), del Codice formula a tutti i titolari del trattamento in ambito privato e pubblico, in particolare a piccole e medie imprese, liberi professionisti, artigiani, le seguenti indicazioni per semplificare l'informativa rispetto allo svolgimento di correnti finalità amministrative e contabili, anche in relazione all'adempimento di obblighi contrattuali, precontrattuali o normativi. Detti soggetti possono:
a) fornire un'unica informativa per il complesso dei trattamenti, anziché per singoli aspetti del rapporto con gli interessati;
b) fornire a questi ultimi una ricostruzione organica dei trattamenti e con linguaggio semplice, senza frammentarla o reiterarla inutilmente;
c) indicare le informazioni essenziali in un quadro adeguato di lealtà e correttezza;
d) redigere, per quanto possibile, una prima informativa breve. All'interessato, anche oralmente, andrebbero indicate sinteticamente alcune prime notizie chiarendo subito, con immediatezza, le principali caratteristiche del trattamento. In linea di massima l'informativa breve, quando è scritta, può avere la seguente formulazione:
"I SUOI DATI PERSONALI
Utilizziamo -anche tramite collaboratori esterni- i dati che la riguardano esclusivamente per nostre finalità amministrative e contabili, anche quando li comunichiamo a terzi. Informazioni dettagliate, anche in ordine al suo diritto di accesso e agli altri suoi diritti, sono riportate su...";
e) per l'informativa, specie per quella breve, si possono utilizzare gli spazi utili nel materiale cartaceo e nella corrispondenza che si impiegano già, ordinariamente, per finalità amministrative e contabili;
f) l'informativa breve può rinviare a un testo più articolato, disponibile agevolmente senza oneri per gli interessati, in luoghi e con modalità facilmente accessibili anche con strumenti informatici e telematici (in particolare, tramite reti Intranet o siti Internet, affissioni in bacheche o locali, avvisi e cartelli agli sportelli per la clientela, messaggi preregistrati disponibili digitando un numero telefonico gratuito). Anche questa più ampia informativa deve essere improntata a correttezza, tenendo conto di possibili modifiche del trattamento, ed essere basata su espressioni sintetiche, chiare e comprensibili. Le notizie da indicare per legge (art. 13, comma 1) devono essere aggiornate, specificando la data dell'ultimo aggiornamento;
g) è possibile non inserire nell'informativa più articolata gli elementi noti all'interessato (art. 13, commi 2 e 4). E' opportuno omettere riferimenti meramente burocratici o circostanze ovvie, per esempio quando alcune informazioni, compresi gli estremi identificativi del titolare, risultano da altre parti del documento in cui è presente l'informativa. Vanno utilizzate espressioni efficaci, anche se sintetiche, anche per quanto riguarda i diritti degli interessati e l'organismo o soggetto al quale rivolgersi per esercitarli. Se è prevista la raccolta di dati presso terzi è possibile formulare una sola informativa per i dati forniti direttamente dall'interessato e per quelli che saranno acquisiti presso terzi. Per questi ultimi dati, l'informativa può non essere fornita quando vi è un obbligo normativo di trattarli (art. 13, comma 5);
h) è opportuno che l'informativa più articolata sia basata su uno schema tendenzialmente uniforme per il settore di attività del titolare del trattamento;
i) è invece necessario fornire un'informativa specifica o ad hoc quando il trattamento ha caratteristiche del tutto particolari perché coinvolge, ad esempio, peculiari informazioni (es. dati genetici) o prevede forme inusuali di utilizzazione di dati, specie sensibili, rispetto alle ordinarie esigenze amministrative e contabili, o può comportare rischi specifici per gli interessati (ad esempio, rispetto a determinate forme di uso di dati biometrici o di controllo delle attività dei lavoratori). Se il titolare del trattamento è un soggetto pubblico devono essere inserite le indicazioni che la legge prevede per i dati sensibili e giudiziari;
2) invita le associazioni di categoria a predisporre informative-tipo per determinati settori o categorie di trattamento, anche in collaborazione con questa Autorità. Il Garante si riserva in questo quadro di porre a disposizione gratuita (chiedendo anche la collaborazione delle camere di commercio), un kit contenente concrete istruzioni e fac-simile per semplificare tutti gli adempimenti in materia;
3) richiama l'attenzione dei titolari del trattamento sulla circostanza che la designazione degli incaricati del trattamento può avvenire in modo semplificato evitando singoli atti circostanziati relativi distintamente a ciascun incaricato, individuando i trattamenti di dati e le relative modalità che sono consentiti all'unità cui sono addetti gli incaricati stessi (art. 30);
4) richiama l'attenzione dei titolari del trattamento sulla circostanza che, per effetto delle previsioni del Codice e delle determinazioni già adottate da questa Autorità, la notificazione telematica al Garante non è necessaria per perseguire finalità amministrative e contabili, salvo che per eventuali casi eccezionali indicati per legge (art. 37);
5) ai sensi degli artt. 2, comma 2, 24 e 154, comma 1, lett. c), del Codice invita tutti i titolari del trattamento pubblici e privati a non chiedere il consenso degli interessati quando il trattamento dei dati è svolto, anche in relazione all'adempimento di obblighi contrattuali, precontrattuali o normativi, esclusivamente per correnti finalità amministrative e contabili, nonché quando i dati provengono da pubblici registri ed elenchi pubblici conoscibili da chiunque, o sono relativi allo svolgimento di attività economiche o sono trattati da un soggetto pubblico;
6) in applicazione del principio del bilanciamento degli interessi (art. 24, comma 1, lett. g)), dispone che i titolari del trattamento in ambito privato che hanno venduto un prodotto o prestato un servizio, nel quadro del perseguimento di ordinarie finalità amministrative e contabili, possono utilizzare senza il consenso i recapiti (oltre che di posta elettronica come già previsto per legge) di posta cartacea forniti dall'interessato, ai fini dell'invio diretto di proprio materiale pubblicitario o di propria vendita diretta o per il compimento di proprie ricerche di mercato o di comunicazione commerciale. Ciò, rispettando anche le garanzie previste per le attività di profilazione degli interessati (Provv. 24 febbraio 2005, doc. web n. 1103045), a condizione che:
a) tale attività promozionale riguardi beni e servizi del medesimo titolare e analoghi a quelli oggetto della vendita;
b) l'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione effettuata per le menzionate finalità, sia informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente, anche mediante l'utilizzo della posta elettronica o del fax o del telefono e di ottenere un immediato riscontro che confermi l'interruzione di tale trattamento (art. 7, comma 4);
c) l'interessato medesimo, così adeguatamente informato già prima dell'instaurazione del rapporto, non si opponga a tale uso, inizialmente o in occasione di successive comunicazioni;
7) dispone che copia del presente provvedimento sia trasmessa al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana, nonché alle associazioni di categoria, ai ministeri interessati e alle camere di commercio.
Roma, 19 giugno 2008
IL PRESIDENTE Pizzetti
IL RELATORE Pizzetti
IL SEGRETARIO GENERALE Buttarelli
(*) Congiuntamente al presente provvedimento sulla semplificazione, in fase di pubblicazione sulla Gazzetta ufficiale, il Garante ha segnalato alle competenti autorità di Governo l'opportunità di apportare una modifica al Codice con riferimento alla disciplina delle misure minime di sicurezza e al documento programmatico, per contemperare meglio l'applicazione delle necessarie cautele di sicurezza dei dati e dei sistemi con l'esigenza di adattarle alle attività che, specie presso piccole e medie imprese, liberi professionisti e artigiani, vengono svolte in relazione ad attività di corrente gestione amministrativa e contabile.
In tale prospettiva, il Garante ha ipotizzato una modifica normativa dell'art. 33 del Codice, del seguente tenore:
"Art.
All'articolo 33 del decreto legislativo 30 giugno 2003 n. 196, dopo il comma 1, è aggiunto il seguente: "1-bis. Il Garante può individuare con proprio provvedimento modalità semplificate in ordine all'adozione delle misure minime di cui al comma 1, con riferimento ai trattamenti effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani".".
Bond Parmalat: Tribunale di Palermo sentenza n. 696/08 del 13/02/08. Viene abbandonata la tesi della nullità del contratto per violazione delle norme regolamentari (in precedenza seguita dal Tribunale isolano) ed è disposta la risoluzione del rapporto per omesso rispetto degli obblighi informativi.
REPUBBLICA ITALIANA IN NOME DEL POPOLO ITALIANO
Il Tribunale di Palermo - XXXX Sezione Civile composto dai sigg.ri Magistrati
DOTT. XXXXXXXXXXX Presidente
DOTT. XXXXXXXXXXX Giudice
DOTT. XXXXXXXXXXX Giudice rel.
Ha pronunciato la seguente
SENTENZA
ai sensi degli artt. 16 del D.Lgs. 17.1.2003 n. 5, nella causa iscritta al n. XXXXX del Ruolo Generale degli affari contenziosi civili dell’anno XXXXX vertente
tra
XXXXXXXXXXXXXX XXXX (Avv.ti XXXXXX)
attrice
contro
XXXXXXXXXXXXXX S.P.A., in persona del legale rappresentante pro tempore (Avv. XXXXXXXXX);
XXXXXXXXXXXXXX GIOVANNI (Avv. Mario Alesi)
convenuti
OGGETTO: contratto di intermediazione finanziaria.
Il Tribunale di Palermo – III Sezione Civile
ogni contraria istanza, eccezione e deduzione respinta, definitivamente pronunciando nel contraddittorio delle parti, così provvede:
in parziale accoglimento delle domande proposte da Carla XXXXXXXXXXXXXX, dichiara risolto il contratto di negoziazione 13-14.3.2003 del titolo PARMALAT FINANCE CORPORATION BV 6% 06, concluso dall’attrice con XXXXXXXXXXXXXX S.p.A.; condanna XXXXXXXXXXXXXX S.p.A., per le causali di cui in motivazione, al pagamento in favore dell’attrice della somma di € 14.000,00=, oltre interessi come per legge dalla data del 14.3.2003 sino al soddisfo (e onorando l’attrice della restituzione del titolo); rigetta ogni altra domanda;
condanna XXXXXXXXXXXXXX S.p.A. alla rifusione del 50% delle spese del giudizio in favore dell’attrice (dichiarando compensato il resto), liquidate nell’intero in complessivi € 3.060,00=, di cui € 190,00 per spese, € 1.050,00 per diritti, € 1.820,00 per onorari, oltre IVA e CPA come per legge, ed oltre il rimborso forfettario previsto dalla Tariffa forense; dichiara interamente compensate le spese tra le parti.
*****
Motivi della Decisione
Carla XXXXXXXXXXXXXX espone di aver concluso, in data 14 marzo 2003, su suggerimento del dipendente dell’Istituto di credito convenuto Giovanni XXXXXXXXXXXXXX, contratti di acquisto di titoli obbligazionari Parmalat al 6,0 %, scadenza 2006, per il controvalore di euro 14.000,00. XXXXXXXXXXXXXX, in qualità di operatore titoli e gestore della clientela affluente, si era fatto garante della sicurezza e del buon rendimento dell’investimento.
Lamenta invece la mancata informazione sulla reale situazione economica della società emittente, che anzi era stata prospettata come una delle più sicure a livello mondiale e, pertanto di non essere stata posta in condizione di conoscere l’effettivo rischio connaturato a tale tipo di investimento.
Più precisamente, deduce l’attrice che era ben nota all’istituto di credito convenuto, al momento della conclusione del citato contratto d’acquisto, la scarsa propensione al rischio, peraltro dimostrata da precedenti investimenti, sempre relativi a titoli di stato (BOT) e lamentava che, al momento della sottoscrizione del contratto di acquisto, nessuna informazione circa il titolo le era stata data: in particolare, non era stata informata dalla banca che la società emittente obbligazione non era la società italiana Parmalat, bensì una società finanziaria olandese – Parmalat Finance Corporation BV -; che i titoli proposti ed acquistati non erano destinati, per come espressamente previsto dalla Offering Circular (il documento destinato agli investitori istituzionali contenente informazioni sull’emittente, sui garanti, sul regime giuridico dell’operazione), al pubblico dei risparmiatori; che il titolo venduto era stato, in maniera fuorviante e generica, definito PARMALAT 01 nell’ordine di acquisto, a fronte della reale denominazione PARMALAT FINANCE CORPORATION BV 6 06. Prosegue, poi, riferendo di non essere stata avvertita dagli stessi impiegati dell’istituto di credito, della crisi e del deficit finanziario del gruppo Parmalat e del conseguente tracollo delle obbligazioni dalla stessa acquistate.
L’attrice, quindi, censura la condotta negoziale della banca e del promotore XXXXXXXXXXXXXX, in riferimento tanto a disposizioni di legge (D.Lgs. n. 24.2.1998 n. 58, c.d. TUF) che regolamentari (delibera Consob 1.7.1998 n. 11522) disciplinanti la materia dell’intermediazione finanziaria e poste a presidio di interessi generali, taluni di rango costituzionale, ed invocano l’invalidità ed inefficacia del contratto concluso. In particolare, contesta la violazione degli obblighi previsti a carico degli intermediari finanziari dal TUF (D. Lgs. 58/98) e dal Regolamento attuativo Consob 11522/98 e successive modifiche: cioè violazione degli obblighi di informazione e di non agire in conflitto d’interesse.
Perciò, dopo il rituale scambio di memorie, con l’istanza di fissazione di udienza ha concluso chiedendo: 1) Ritenere e dichiarare la responsabilità di XXXXXXXXXXXXXX S.p.A. in persona del suo legale rappresentante pro-tempore, e del promotore finanziario Giovanni XXXXXXXXXXXXXX, per la vendita delle obbligazioni denominate “Parmalat Finance Corporation BV 6% 06, codice ISIN XS 0123321068, stante la violazione delle norme di legge e regolamentari specificate. 2) Ritenere e dichiarare la nullità del contratto di negoziazione dei suddetti titoli, del contratto di acquisto e del relativo ordine, per i motivi meglio specificati negli atti di causa. 3) In via subordinata, annullare il contratto di acquisto dei suddetti titoli perché viziato da dolo o, comunque, da errore o, comunque, perché stipulato in conflitto d’interesse e/o, comunque, dichiararlo risolto per fatto e colpa di controparte. 4) In ogni caso, in conseguenza di tutte o alcune delle superiori statuizioni, condannare in solido XXXXXXXXXXXXXX S.p.A. e Giovanni XXXXXXXXXXXXXX alla restituzione, in favore di Carla XXXXXXXXXXXXXX, del capitale investito, pari a € 14.000,00 e delle spese sostenute per l’operazione oltre interessi legali e rivalutazione monetaria; e, inoltre, condannare in solido, o in via alternativa, XXXXXXXXXXXXXX S.p.A. e Giovanni XXXXXXXXXXXXXX a risarcire sia i danni esistenziali, che si chiede vengano liquidati in € 5.000,00, sia i danni derivanti dalla perdita dei frutti, dalla data di acquisto dei titoli per cui è causa e fino all’effettivo soddisfo, che si chiedono nella misura descritta in atti di causa. Con vittoria di spese.
Ritualmente costituitasi, XXXXXXXXXXXXXX S.p.A. chiede il rigetto delle domande attoree, deducendo: che l’attrice in data 4 marzo 2003 ha stipulato con l’Istituto bancario un contratto di deposito titoli e negoziazione in relazione all’apertura del deposito amministrato n. 2592232, e che contestualmente alla sottoscrizione del contratto di negoziazione in strumenti finanziari, l’attrice aveva ritirato copia del contratto di intermediazione, del contratto di deposito titoli, del “documento sui rischi generali degli investimenti in strumenti finanziari”; mentre si era rifiutata di fornire le informazioni relative alla conoscenza degli strumenti finanziari, per quanto concerne le esperienze in materia di strumenti finanziari, gli obiettivi di investimento e la propensione al rischio aveva indicato il CODICE 3, ossia medio-bassa propensione al rischio, con preferenza di titolo del mercato obbligazionario.
Evidenzia, ancora, che al momento della conclusione del contratto per la negoziazione, ricezione e trasmissione di ordini su strumenti finanziari, era stata correttamente consegnata la documentazione di rito; che, al momento della conclusione dell’ordine di acquisto in oggetto, l’attrice era stata resa edotta delle caratteristiche del titolo, peraltro dotato, al momento della sottoscrizione dell’acquisto di rating pari a BBB- e non era affatto stata sollecitata all’investimento del dipendente dell’istituto di credito; che l’attrice aveva effettuato altri investimenti, anche relativi ad obbligazioni ad elevato rendimento e dunque a più alto rischio.
Contesta, infine, di aver violato alcun obbligo di informazione in ordine all’operazione proposta dall’attrice, poiché le informazioni in suo possesso all’epoca delle stipulazione del contratto non consentivano di avere conoscenza dello stato effettivo della situazione della Parmalat – i cui dati di bilancio non erano indicativi di per sé di alcuna particolare anomalia, né potevano far presagire il dissesto; l’estraneità di XXXXXXXXXXXXXX al gruppo di Banche creditrici di Parmalat e dunque la insussistenza di qualsivoglia ipotesi di conflitto di interesse.
Quindi, XXXXXXXXXXXXXX conclude chiedendo rigettare per i motivi esposti in atti ogni domanda ex adverso proposta e condannare l’attrice a rifondere alla convenuta XXXXXXXXXXXXXX S.p.A. le spese i diritti e gli onorari di causa.
Sulla stessa linea difensiva della Banca si attestava le difese del convenuto XXXXXXXXXXXXXX Giovanni, il quale ha pure concluso chiedendo il rigetto delle pretese attoree.
Tanto premesso, la pretesa azionata si fonda sull’addebito all’intermediario finanziario di aver omesso di adempiere ai doveri imposti dalla normativa in materia di intermediazione finanziaria; e in primo luogo l’attrice ha avanzato domanda di nullità per violazione da parte dell’istituto di credito convenuto e del promotore di norme di comportamento previste dal T.U.F. (cioè il testo normativo di cui si dirà più avanti), genericamente e complessivamente considerate, che impongono una corretta informativa preventiva da fornirsi al cliente, una valutazione obiettiva e subbiettiva del rischio cui egli va incontro nell’acquisto di strumenti finanziari, e, asseritamente, un comportamento successivo all’acquisto.
Detta domanda va però rigettata per le considerazioni che seguono.
La normativa che occorre prendere in considerazione è quella del T.U. 24.2.1998 n. 58, recante: “Disposizioni in materia di intermediazione finanziaria” (di seguito TUF), e del successivo regolamento attuativo del 1.7.1998.
Quest’ultimo è il regolamento CONSOB approvato con delibera 1 luglio 1998 n. 1152, avente portata integrativa dei superiori doveri, contenente una precisa e dettagliata prescrizione degli obblighi.
Esaminando questi ultimi, l’art. 21 TUF impone agli intermediari nell’attività di servizi di investimenti ed accessori di: a) comportarsi con diligenza, correttezza e trasparenza nell’interesse dei clienti e per l’integrità dei mercati; b) acquisire le informazioni necessarie dai clienti ed operare in modo che essi siano sempre adeguatamente informati; c) organizzarsi in modo tale da ridurre al minimo il rischio di conflitti di interesse e, in situazioni di conflitto, agire in modo da assicurare comunque ai clienti trasparenza ed equo trattamento; d) disporre di risorse e procedure, anche di controllo interno, idonee ad assicurare l’efficiente svolgimento dei servizi; e) svolgere una gestione indipendente, sana e prudente e adottare misure idonee a salvaguardare i diritti dei clienti sui beni affidati.
Dal canto suo, il regolamento, per quello che in questa sede interessa, all’art. 28 impone all’intermediario, prima della stipula del contratto di gestione, di chiedere all’investitore ogni notizia sulla sua propensione al rischio, sulla sua esperienza in materia di investimenti in strumenti finanziari, sulla sua situazione finanziaria, e l’eventuale rifiuto a fornire le predette informazioni deve risultare dal contratto. Ancora, l’intermediario è tenuto a consegnare al cliente il documento sui rischi generali degli investimenti in strumenti finanziari.
La tipizzazione dei doveri di diligenza implica l’enucleazione della serie di comportamenti che in concreto l’operatore è tenuto a compiere, al fine di rendere l’operazione il più possibile trasparente e comprensibile anche ad un cliente scarso conoscitore dei meccanismi del mercato e degli strumenti finanziari. Certamente, la consegna del prospetto informativo del prodotto che il cliente si accinge ad acquistare unitamente alla descrizione verbale delle sue caratteristiche implica adempimento degli obblighi di diligenza. Ulteriori obblighi di carattere più dettagliato mirano a salvaguardare l’investitore da rischi elevati imponendo al soggetto abilitato: di acquisire un’adeguata conoscenza degli strumenti finanziari, dei servizi e dei prodotti diversi, propri o di terzi; di non procedere all’investimento se questo si rivela inadeguato alla situazione finanziaria dell’investitore, di non agire in situazioni di conflitto di interessi, di non effettuare operazioni prima di aver assolto prontamente gli oneri di informazione sulla natura dei rischi e sulle implicazioni della specifica operazione, di mettere a disposizione dei clienti i documenti e le registrazioni che li riguardano. Tutti tali obblighi sono codificati rispettivamente dall’art. 26 comma I lett. e) reg. consob 11522/98, dagli artt. 21 comma I lett. b) T.U.F. e 28 comma I lett. a) reg. Consob n. 11522/98 e dall’art. 29 comma I reg. Consob 11522/98, ed impongono all’intermediario finanziario di:
raccogliere informazioni necessarie dai clienti, richiedendo all’investitore - anche mediante moduli prestampati il cui utilizzo è stato legittimato dalla Consob – informazioni sulla sua esperienza in materia di investimenti finanziari, la sua situazione finanziaria, i suoi obiettivi di investimento, la sua propensione al rischio, annotando l’eventuale rifiuto del cliente a rendere le risposte;
astenersi dall’effettuare con o per conto degli investitori operazioni, anche se espressamente impartite dal cliente, rispetto a costui non adeguate per tipologia, oggetto, frequenza e dimensione, salvo la ripetizione scritta dell’ordine preceduta dall’esplicazione delle ragioni di inadeguatezza.
Tali doveri mirano a tutelare l’interesse degli investitori e l’integrità del mercato (art. 21 comma I lett. a T.U.F. ed art. 26 comma I del consob 11522/98), assicurando correttezza e trasparenza dell’attività di intermediazione: la corretta interpretazione delle preferenze di investimento dei risparmiatori e la ponderata valutazione dei rischi da parte di costoro riducono l’alea connessa agli investimenti finanziari entro quella connaturata, e perciò insopprimibile, alle operazioni eseguite sul mercato dei valori mobiliari, ed elidono, tendenzialmente, il rischio non necessario, evitando che questo sia addossato in modo inconsapevole al risparmiatore.
Proprio la violazione di tali doveri comporta, secondo un indirizzo giurisprudenziale (pure seguito, in passato, da questo Tribunale), la nullità dei relativi contratti conclusi e ciò in considerazione della peculiare rilevanza degli interessi protetti di natura pubblicistica, identificabili con la tutela dei risparmiatori, soggetti deboli e in forte asimmetria informativa rispetto agli operatori abilitati, del risparmio pubblico, della correttezza ed efficienza del mercato dei valori mobiliari (cass. 07/03/2001 n. 3272; Trib. Mantova 18/3/2004).
Dalla qualificazione in termini di norma imperativa di legge dei precetti comportamentali che sovrintendono all’operato degli intermediari finanziari discenderebbe, ai sensi dell’art. 1418 comma I e III c.c., l’affermazione di nullità degli atti negoziali conclusi in loro dispregio; e da tali orientamenti giurisprudenziali discende la domanda di nullità proposta dall’attrice.
Il Tribunale ritiene di non (più) condividere l’interpretazione appena richiamata.
Invero, quanto alle nullità cd. “virtuali” derivanti da clausole negoziali contrarie a norma imperative, ritiene invece di sposare il più recente arresto del Supremo Collegio (Corte di Cassazione sez. I civ. 29 settembre 2005) ove viene evidenziato che la nullità del negozio può essere determinata solamente dalla violazione che incide sul contenuto obiettivo dello stesso, non anche quella relativa alla condotta prenegoziale o della fase esecutiva posta in essere da taluna delle parti.
La nullità del contratto per contrarietà a norme imperative, ai sensi dell’art. 1418 comma I cod. civ., postula che siffatta violazione attenga ad elementi intrinseci della fattispecie negoziale, cioè relativi alla struttura o al contenuto del contratto, e quindi l’illegittimità della condotta tenuta nel corso delle trattative per la formazione del contratto, ovvero nella sua esecuzione, non determina la nullità del contratto, indipendentemente dalla natura delle norme con le quali sia in contrasto, a meno che questa sanzione non sia espressamente prevista anche in riferimento a detta ipotesi.
Proprio la netta distinzione, che caratterizza le norme sopra riportate, tra adempimenti prescritti a pena di nullità ed altri obblighi di comportamento pure posti a carico dell’intermediario impedisce una generalizzata qualificazione di tutta la disciplina dell’intermediazione mobiliare come di ordine pubblico e, ultimamente, presidiata dalla cd. nullità virtuale di cui all’art. 1418 c.c.
Di conseguenza, non può sanzionarsi con la nullità il negozio ove risulti inosservato l’obbligo informativo perché l’informazione non assurge a requisito dell’atto a pena di nullità, ma anzi, per quanto discende dalle norme del T.U.F. richiamate, qualifica il comportamento dell’operatore finanziario, con condotta da valutare in termini di diligenza nella fase delle trattative o dell’adempimento.
In altri termini, dette norme non sono che una specificazione dei principi generali in tema di informazione e correttezza, già sanciti dagli artt. 1337 e 1375 c.c., alla cui violazione segue solo l’esperibilità del rimedio della risoluzione e/o risarcitorio, nonché – sussistendone eventualmente i presupposti – l’applicazione delle sanzioni penali ed amministrative previste a carico dell’intermediario.
Tale opzione interpretativa, tra l’altro, non si pone in contrasto con le esigenze di tutela dell’investitore sottese alla predisposizione degli obblighi imperativi di cui all’art. 21 d. lgs 58/98 e della conseguente normativa regolamentare, tenuto conto che essa consente il pieno ristoro del pregiudizio da questi patito mediante l’esperimento dell’azione risarcitoria e/o di risoluzione per inadempimento.
Passando ad esaminare la domanda di annullamento del contratto (di acquisto del titolo Parmalat), secondo la difesa attrice l’istituto di credito convenuto non solo ha agito in conflitto di interessi, vendendo ad un proprio cliente il titolo di una società collegata alla Parmalat S.p.A., a sua volta fortemente debitrice nei confronti delle banche, tra cui la stessa XXXXXXXXXXXXXX (o comunque la sua capogruppo, Banca Popolare di Vicenza); ma altresì ha venduto un titolo che si trovava nella disponibilità dello stesso convenuta, che di tutto ciò avrebbe pure omesso di darne avviso alla cliente, posto che la formula utilizzata nella copia dell’ordine di acquisto (vedi copia richiesta di esecuzione del 13.3.2003, e copia ordine di acquisto del 14.4.2003, versate in atti dalla Banca) non specifica affatto l’esistenza del conflitto né la sua estensione.
L’assunto non è nel caso di specie fondato.
Fermo restando – come anche la stessa Consob ha già avuto modo di riconoscere – il fatto che l’esistenza di una esposizione creditoria della banca nei confronti dello stesso emittente non determina di per sé la sussistenza del conflitto di interesse, rileva il Collegio che, a maggior ragione, deve escludersi anche la astratta possibilità di un conflitto di interesse nel caso, come il presente, in cui la convenuta non era creditrice, in particolare, della società emittente il prestito obbligazionario (Parmalat Finance Corporation BV) di cui è causa: per quanto emerso in sede di interrogatorio formale del legale rappresentante di XXXXXXXXXXXXXX S.p.A., oltre che documentato dalla Banca (con prospetto riepilogativo delle posizioni creditorie verso Parmalat), era solo Banca Popolare di Vicenza (“capogruppo” di XXXXXXXXXXXXXX S.p.A.) ad essere appunto creditrice del gruppo Parmalat; e di conseguenza, risultando diverse le soggettività giuridiche, nessun conflitto è ipotizzabile. In ogni caso, poi, la situazione di conflitto di interessi rilevante agli effetti della contestazione di violazioni comportamentali è solo quella attuale, ossia una situazione in cui l’intermediario non solo potenzialmente, ma anche effettivamente, realizzi un suo interesse in conflitto con quello del cliente, cosa che, nel caso di specie, non è stato provato sia avvenuto; non è provato, cioè, che il titolo venduto era già detenuto dalla Banca.
Passando alla disamina delle ulteriori domande, nel presente giudizio l’attrice ha (anche) chiesto di accertare la responsabilità negoziale dell’Istituto di credito convenuto e del promotore finanziario, per avere sostanzialmente taciuto il rischio connesso alla sottoscrizione dei titoli obbligazionari Parmalat, e conseguentemente condannarli alla risoluzione del contratto e al risarcimento di tutti i danni subiti.
Rispetto tali domande, deve subito evidenziarsi il difetto di legittimazione passiva del promotore finanziario XXXXXXXXXXXXXX: se è lui che ha materialmente concluso il negozio, egli lo ha fatto, per come emerge dall’ordine del 14.3.2003, in nome e per conto della Banca; ed è quindi solo nei confronti di essa che si è avuto il perfezionamento del contratto di cui, in questa sede, si vogliono annullare i dannosi effetti.
Per la invocata responsabilità risarcitoria della banca per violazione degli obblighi di informazione, va premesso che l’onere di provare di aver agito con la dovuta diligenza richiesta dall’operazione conclusa grava sul soggetto abilitato, a norma dell’art. 23 comma VI T.U.F. (norma che può ritenersi specificazione, in questo particolare settore, di quella desumibile dall’art. 1218 c.c.), convenuto in giudizio dal cliente per i danni a questi cagionati.
In questo caso, l’intermediario non deve dimostrare di aver fatto tutto il possibile per adempiere l’obbligazione, ma deve dar prova di aver agito con la specifica diligenza, da valutarsi con riguardo all’attività professionale esercitata (art. 1176 II comma c.c.).
In caso di pretesa ulteriore di risoluzione e risarcimento del danno (come nel caso di specie), sull’investitore permane l’onere probatorio in punto di danno e di nesso di causalità con la violazione dei doveri allegata.
Tornando ai doveri imposti alla banca, esaminandoli in ordine temporale, essi si sostanziano principalmente nel dovere di informarsi e nel dovere di informare.
Nel caso concreto, dall’istruttoria è emersa la violazione da parte della convenuta di tali doveri, ed in primo luogo delle regole generali di comportamento sancite dall’art. 21 co. I lett. d) TUF: “disporre di risorse e procedure anche di controllo interno, idonee ad assicurare l’efficiente svolgimento dei servizi” e dall’art. 26 D. Consob 11522/98, tra le quali alla lett. e) è previsto che “Gli intermediari autorizzati, nell’interesse degli investitori e dell’integrità del mercato mobiliare.., e) acquisiscono una conoscenza degli strumenti finanziari, dai servizi nonché dei prodotti diversi dal servizio di investimento, propri o di terzi, da essi offerti, adeguata al tipo di prestazione da fornire”.
Detta norma, in dettaglio, pone a carico degli intermediari e nell’interesse degli investitori un obbligo di conoscenza, che è più della semplice informazione, sui prodotti da loro offerti, conoscenza che si estende alla loro provenienza, alla situazione degli stessi nei mercati, alla loro destinazione tra il pubblico dei consumatori.
Va sottolineato che si tratta di conoscenza che il risparmiatore, investitore non professionale, per esperienza, per cultura o per diverso campo lavorativo non potrà mai acquisire, pervenendo ad un giudizio completo sulla operazione finanziaria che si appresta a sottoscrivere.
Nel caso di specie, l’ordine di acquisto sottoscritto il 13/14.3.2003 dall’attrice non contiene alcuna indicazione sulla natura del titolo, sulla circostanza che negoziazione sia stata posta in essere o meno per un titolo “non quotato” e in assenza di rating, sull’adeguatezza della operazione in ragione delle caratteristiche degli investitori e sul rischio ad essa connesso.
A questo proposito occorre ribadire che potendosi inquadrare lo schema negoziale posto in essere dalle parti nel contratto di mandato, con il mandante in posizione di netto svantaggio sul mandatario, in ragione del profondo divario di informazioni e cognizioni tecniche possedute dalle parti, quest’ultimo è tenuto, usando della diligenza del professionista avveduto, ad indirizzare le scelte del risparmiatore ed a segnalargli l’eventuale inadeguatezza delle operazioni che intenda comunque compiere, illustrandogliene i motivi.
E può essere considerato, nello schema del mandato, anche il solo ordine di acquisto impartito dal risparmiatore, sulla base del contratto-quadro preesistente a monte con l’intermediario (cioè quello di deposito titoli e negoziazione in relazione all’apertura del deposito amministrato stipulato in data 4.3.2003: (cfr. copia detto, versata in atti).
In altri termini, il contratto quadro stipulato a monte con la Banca è da assimilare allo schema tipico del contratto di mandato, rispetto cui gli ordini all’intermediario di acquisto dei bond per cui è causa sono assimilabili alle disposizioni date dal mandante a compiere di volta in volta atti giuridici di acquisto e/o vendita di titoli, nella esecuzione del rapporto di mandato; rapporto per il quale la diligenza richiesta è quella specifica di cui all’art. 1710 c.c..
Tornando al rapporto sottoposto al vaglio del Tribunale, può dirsi che tale diligenza sia mancata, perché non vi è prova che la Banca abbia reso edotta l’attrice della situazione afferente il titolo venduto, atteso che, come detto, il relativo “ordine” non reca alcuna la dicitura in ordine alla natura del titolo, alla circostanza che negoziazione sia stata posta in essere o meno per un titolo “non quotato” e in assenza di rating, ed infine in ordine all’adeguatezza della operazione in ragione delle caratteristiche degli investitori e sul rischio ad essa connesso.
Né è emerso che il promotore finanziario abbia compiutamente avvertito, né oralmente né tantomeno (e soprattutto) per iscritto, l’odierna attrice delle caratteristiche precise del titolo. A tal fine, lo stesso XXXXXXXXXXXXXX, in sede di prova per interpello, ha sostanzialmente confermato di avere fornito alla cliente le scarse informazioni che erano sui documenti che XXXXXXXXXXXXXX sottoscrisse (cioè il documento del 13.3.2003 denominato offerta fuori sede, e l’ordine di acquisto del giorno dopo), espressamente ammettendo di non avere comunicato che si trattava di titoli olandesi, informazione che XXXXXXXXXXXXXX ha detto di non avere: ma ciò non esime la posizione del promotore o della Banca: o egli non si è adeguatamente informato sul titolo in vendita, ovvero la Banca ha omesso di fornirgli detta informazione.
Nonostante il possesso da parte dell’attrice di un portafoglio con titoli diversificati, comprati però dopo quello per cui è causa, l’acquisto di bond Parmalat, in quanto caratterizzato da un grado elevato di rischio, deve ritenersi connotato da un pregnante obbligo di informazione in capo all’operatore proponente.
L’attrice, invece, non è stata posta in condizione di conoscere tutte le informazioni “necessarie affinchè gli investitori potessero pervenire a un fondato giudizio sulla situazione patrimoniale, economica e finanziaria e sull’evoluzione dell’attività dell’emittente nonché sui prodotti finanziari e sui relativi diritti” che a tenore dell’art. 94 comma 2 T.U.F. costituiscono l’oggetto del prospetto destinato alla pubblicazione.
Né è consentito alla Banca trincerarsi, senza alcuna dimostrazione, dietro l’allegazione dell’imprevedibilità del crack finanziario dell’emittente e dell’ignoranza delle caratteristiche del titolo, non avendo dimostrato, come era suo preciso onere, la diligenza profusa nell’acquisizione di cognizioni circa le caratteristiche del prodotto finanziario e, non ultimo, nella sua rappresentazione all’investitore.
Conclusivamente, deve rilevarsi che nella condotta della Banca convenuta è mancata sia la valutazione di non adeguatezza dell’operazione rispetto alle qualità della cliente – attrice, e soprattutto è mancata puntuale informazione resa circa l’operazione eseguita e le caratteristiche precise del titolo oggetto di negoziazione, tale da integrare grave inadempimento legittimante la risoluzione e risarcimento dei danni. Perciò, la domanda formulata, ex art. 1453 c.c., da Carla XXXXXXXXXXXXXX va accolta, con declaratoria di risoluzione del contratto di acquisto del titolo Parmalat.
In punto di ristoro del danno patito, non avendo la parte attrice allegato specificamente e provato (estremamente generica è la deduzione in punto di danno esistenziale, che presuppone quantomeno l’incidenza su valori costituzionalmente rilevanti), l’esistenza di ulteriori danni, tale risarcimento andrà limitato alla misura di € 14.000,00, pari alla somma impiegata per l’acquisto rivelatosi del tutto insoddisfacente, con contestuale restituzione alla Banca del titolo ancora detenuto (quale effetto automatico della risoluzione). XXXXXXXXXXXXXX va così condannata al pagamento di detta somma di € 14.000,00=, oltre gli interessi legali dalla data della negoziazione sino al completo soddisfo (tali da compensare anche il danno da ritardato ristoro); mentre l’attrice dovrà restituire i titoli oggetto della negoziazione dei 13/14.3.2003 (non si provvede ad espressa condanna, mancando apposita domanda della Banca convenuta, la quale sul punto ha solo dedotto in ordine alla conseguenza che deriverebbe dall’accoglimento della risoluzione: così, da ultimo, nelle note conclusionali del 22 maggio 2007).
In ragione della particolarità delle questioni trattate, degli ancora oscillanti orientamenti giurisprudenziali su questi temi, possono dirsi sussistenti giusti motivi per disporre la parziale compensazione delle spese di lite rispetto XXXXXXXXXXXXXX, e l’integrale compensazione rispetto alla posizione di XXXXXXXXXXXXXX; la liquidazione in dispositivo.
Così deciso in Palermo nella Camera di Consiglio della III Sezione civile il 22 giugno 2007.
Copyright www.iusreporter.it Ricerca giuridica e diritto delle nuove tecnologie Note legali Testi senza carattere di ufficialità
Redditi on line: illegittima la diffusione dei dati sul sito Internet dell'Agenzia delle entrate - 6 maggio 2008
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;
VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);
VISTA la disciplina che regola la pubblicazione degli elenchi nominativi dei contribuenti che hanno presentato le dichiarazioni ai fini dell'imposta sui redditi e dell'imposta sul valore aggiunto; rilevato che su questa base gli elenchi sono formati annualmente e depositati per un anno, ai fini della consultazione da parte di chiunque, presso i comuni interessati e gli uffici dell'Agenzia competenti territorialmente; rilevato che con apposito decreto devono essere stabiliti annualmente "i termini e le modalità" per la loro formazione (art. 69 d.P.R. 29 settembre 1973, n. 600, come mod. dall'art. 19 l. 30 dicembre 1991, n. 413; art. 66 bis d.P.R. 26 ottobre 1972, n. 633);
VISTO il provvedimento con il quale l'Agenzia delle entrate ha attuato tale disciplina per il 2005 disponendo che gli elenchi, distribuiti ai predetti uffici dell'Agenzia e trasmessi ai comuni mediante sistemi telematici, siano altresì pubblicati nell'apposita sezione del sito Internet dell'Agenzia http://www.agenziaentrate.gov.it"ai fini della consultazione""in relazione agli uffici dell'Agenzia delle entrate territorialmente competenti"(Provv. Direttore dell'Agenzia 5 marzo 2008 prot. 197587/2007);
VISTO il provvedimento del 30 aprile 2008 con il quale questa Autorità, appena avuta notizia di tale diffusione in Internet e avendo ritenuto sulla base di una verifica preliminare che essa non risultava conforme alla normativa di settore, ha invitato in via d'urgenza l'Agenzia a sospenderla;
RILEVATO che con tale provvedimento il Garante ha anche invitato l'Agenzia a fornire ulteriori chiarimenti che, sollecitati con nota dell'Autorità del 2 maggio, sono pervenuti nel termine indicato (nota Agenzia 5 maggio 2008 n. 2008/68657); esaminate le deduzioni formulate e la documentazione allegata;
RILEVATO dalle segnalazioni pervenute e dagli elementi acquisiti nell'istruttoria preliminare che la diffusione in Internet a cura direttamente dell'Agenzia, contrariamente a quanto da questa sostenuto nella predetta nota, contrasta con la normativa in materia, in quanto:
1) il provvedimento del Direttore dell'Agenzia poteva stabilire solo "i termini e le modalità" per la formazione degli elenchi. La conoscibilità di questi ultimi è infatti regolata direttamente da disposizione di legge che prevede, quale unica modalità, la distribuzione di tali elenchi ai soli uffici territorialmente competenti dell'Agenzia e la loro trasmissione, anche mediante supporti magnetici ovvero sistemi telematici, ai soli comuni interessati, in entrambi i casi in relazione ai soli contribuenti dell'ambito territoriale interessato. Ciò, come sopra osservato, ai fini del loro deposito per la durata di un anno e della loro consultazione -senza che sia prevista la facoltà di estrarne copia- da parte di chiunque (art. 69, commi 4 ss., d.P.R. n. 600/1973 cit.; v. anche art. 66 bis d.P.R. 26 ottobre 1972, n. 633);
2) il Codice dell'amministrazione digitale, invocato dall'Agenzia a sostegno della propria scelta, incentiva l'uso delle tecnologie dell'informazione e della comunicazione nell'utilizzo dei dati delle pubbliche amministrazioni. Tuttavia, il Codice stesso fa espressamente salvi i limiti alla conoscibilità dei dati previsti da leggi e regolamenti (come avviene nel menzionato art. 69), nonché le norme e le garanzie in tema di protezione dei dati personali (artt. 2, comma 5 e 50 d.lg. 7 marzo 2005, n. 82);
3) la predetta messa in circolazione in Internet dei dati, oltre a essere di per sé illegittima perché carente di una base giuridica e disposta senza metterne a conoscenza il Garante, ha comportato anche una modalità di diffusione sproporzionata in rapporto alle finalità per le quali l'attuale disciplina prevede una relativa trasparenza. I dati sono stati resi consultabili non presso ciascun ambito territoriale interessato, ma liberamente su tutto il territorio nazionale e all'estero. L'innovatività di tale modalità, emergente dalle stesse deduzioni dell'Agenzia, non traspariva dalla generica informativa resa ai contribuenti nei modelli di dichiarazione per l'anno 2005. L'Agenzia non ha previsto "filtri" nella consultazione on-line e ha reso possibile ai numerosissimi utenti del sito salvare una copia degli elenchi con funzioni di trasferimento file. La centralizzazione della consultazione a livello nazionale ha consentito ai medesimi utenti, già nel ristretto numero di ore in cui la predetta sezione del sito web è risultata consultabile, di accedere a innumerevoli dati di tutti i contribuenti, di estrarne copia, di formare archivi, modificare ed elaborare i dati stessi, di creare liste di profilazione e immettere tali informazioni in ulteriore circolazione in rete, nonché, in alcuni casi, in vendita. Con ciò ponendo anche a rischio l'esattezza dei dati e precludendo ogni possibilità di garantire che essi non siano consultabili trascorso l'anno previsto dalla menzionata norma;
4) infine, va rilevato che questa Autorità non è stata consultata preventivamente dall'Agenzia stessa, come prescritto rispetto ai regolamenti e agli atti amministrativi attinenti alla protezione dei dati personali (art. 154, comma 4, del Codice);
CONSIDERATO che, sulla base delle motivazioni suesposte, non risulta lecita la predetta forma di pubblicazione degli elenchi;
CONSIDERATO pertanto che, a conferma della sospensione già effettuata, va inibita all'Agenzia la diffusione ulteriore in Internet dei predetti elenchi con le modalità sopra indicate, nonché la loro diffusione in modo analogo per i periodi di imposta successivi al 2005 in carenza di un'idonea base normativa e della preventiva consultazione del Garante (artt. 143, comma 1, lett. c) e 154, comma 1, lett. a), b) e d), del Codice);
CONSIDERATO che con contestuale altro provvedimento va contestata all'Agenzia la violazione amministrativa per l'assenza di un'idonea e preventiva informativa ai contribuenti interessati (artt. 13 e 161 del Codice);
CONSIDERATO che coloro che hanno ottenuto i dati dei contribuenti provenienti, anche indirettamente, dal menzionato sito Internet, non possono metterli ulteriormente in circolazione stante la violazione di legge accertata con il presente provvedimento; considerato che tale ulteriore loro messa in circolazione -in particolare mediante reti telematiche o altri supporti informatici- configura un fatto illecito che, ricorrendo determinate circostanze, può avere anche natura di reato (artt. 11, commi 1, lett. a) e 2, 13, 23, 24, 161 e 167 del Codice); rilevata pertanto la necessità di favorire la più ampia pubblicità al presente provvedimento;
CONSIDERATO che restano tuttavia impregiudicate le altre forme di legittimo accesso agli elenchi consultabili da chiunque presso comuni interessati e uffici dell'Agenzia competenti territorialmente, ai fini di un loro legittimo utilizzo anche per finalità giornalistiche;
CONSIDERATO che, qualora il Parlamento e il Governo intendessero porre mano a una revisione normativa della disciplina sulla conoscibilità degli elenchi dei contribuenti anche in rapporto all'evoluzione tecnologica, si porrà l'esigenza di individuare, sentita questa Autorità, opportune soluzioni e misure di protezione per garantire un giusto equilibrio tra l'esigenza di forme proporzionate di conoscenza dei dati dei contribuenti e la tutela dei diritti degli interessati;
VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;
Relatore il prof. Francesco Pizzetti;
TUTTO CIÒ PREMESSO IL GARANTE:
1) a conferma della sospensione della pubblicazione degli elenchi nominativi per l'anno 2005 dei contribuenti che hanno presentato dichiarazioni ai fini dell'imposta sui redditi e dell'imposta sul valore aggiunto, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. a), b) e d), del Codice, inibisce all'Agenzia di:
a) diffondere ulteriormente in Internet detti elenchi con le modalità che il presente provvedimento ha stabilito essere in contrasto con la disciplina di settore attualmente vigente;
b) diffonderli in modo analogo per i periodi di imposta successivi al 2005, in carenza di idonea base normativa e della preventiva consultazione del Garante;
2) manda all'Ufficio di contestare all'Agenzia, con contestuale provvedimento, la violazione amministrativa per l'assenza di un'idonea e preventiva informativa ai contribuenti interessati;
3) dispone che l'Ufficio curi la più ampia pubblicità del presente provvedimento, anche mediante pubblicazione sulla Gazzetta ufficiale della Repubblica italiana, al fine di rendere edotti coloro che hanno ottenuto i dati dei contribuenti provenienti, anche indirettamente, dal sito Internet dell'Agenzia, della circostanza che essi non possono continuare a metterli in circolazione stante la suesposta violazione di legge e che tale ulteriore messa in circolazione configura un fatto illecito che, ricorrendo determinate circostanze, può avere anche natura di reato.
(p)Link
Storico
Stampa
Cassazione civile, sez. II, 21 febbraio 2008, n. 4523:
La
mediazione in materia civile e commerciale
Avvocato
non solo "guerriero"
Guida
al Codice del Consumo
