[doc. web n. 1341432]

Parere sullo schema di regolamento per l´organizzazione ed il funzionamento dell´Istituto superiore delle comunicazioni e delle tecnologie dell´informazione - 28 settembre 2004

Roma, 28 settembre 2004
Prot.

Ministero delle comunicazioni
Ufficio legislativo
Roma

rif. n. 139437/4630/DL del 6 agosto 2004

Oggetto: schema di decreto del Presidente della Repubblica, recante regolamento concernente l´organizzazione ed il funzionamento dell´Istituto superiore delle comunicazioni e delle tecnologie dell´informazione ed il riordino della Scuola superiore di specializzazione in telecomunicazioni.

Con riferimento al parere richiesto, facendo riferimento agli aspetti di competenza di questa Autorità, si rileva preliminarmente l´esigenza di specificare, nell´articolo 1, comma 2, lettera f) o in altra disposizione dello schema, quali siano, almeno in termini generali, i trattamenti di dati personali che l´Istituto superiore delle comunicazioni potrà effettuare nell´espletamento dei compiti ad esso assegnati, anche al fine di assicurarne un´adeguata conoscibilità da parte degli interessati (artt. 11, comma 1, lett. b), e 7, d. lg. n. 196/2003, recante il Codice in materia di protezione dei dati personali).

In tal senso non appare sufficiente la previsione della "gestione" da parte del  predetto Istituto di "banche dati" non altrimenti individuate se non in quanto "occorrenti per lo svolgimento dei compiti assegnati dal Ministero" (l´attuale lettera f) dell´art. 1 lascia, peraltro, il dubbio se  faccia riferimento ai compiti attribuiti al Ministero dagli articoli 15 e 55 del d. lg. n. 259 del 2003 -e poi eventualmente "delegati"- ovvero ad altri compiti specificamente "assegnati dal Ministero" all´Istituto superiore).

Inoltre, al fine di definire compiutamente le responsabilità nel trattamento dei dati personali, si ritiene utile chiarire nell´interesse dell´Istituto stesso se quest´ultimo (in relazione alla propria soggettività giuridica e al grado di autonomia) sia il titolare del trattamento dei dati personali in relazione ai compiti assegnatigli (artt. 4, comma 1, lett. f) e 28 del d. lg. n. 196/2003), o se, invece (anche alla luce dell´assetto che il Ministero si è dato rispetto al trattamento dei dati) il Ministero stesso e/o il medesimo Istituto superiore rivestano la qualità di distinti titolari di autonome banche dati o di separati profili del trattamento. Ciò rileva, in particolare, in relazione ai vari adempimenti previsti dalla normativa in materia di protezione dei dati personali, ma anche, in caso di eventuale contenzioso, per consentire all´interessato di individuare la controparte ai fini dell´esercizio dei diritti di cui all´art. 7 del citato decreto legislativo n. 196 del 2003 e per invocare la tutela giurisdizionale o quella alternativa davanti al Garante.

Tutto ciò potrebbe essere realizzato inserendo, preferibilmente, nello schema di decreto l´indicazione dell´organismo titolare o dei diversi organismi titolari o, in ipotesi, demandando tale indicazione ad un atto successivo eventualmente previsto dal regolamento stesso.

Allo stesso modo, ove si ritenga, invece, di dover individuare nell´Istituto superiore solo l´organismo responsabile del trattamento dei dati di cui è titolare il Ministero, l´individuazione del responsabile medesimo potrà essere fatta sia nel decreto, sia riservando la relativa designazione al titolare in un momento successivo (art. 29 d. lg. n. 196/2003).

La più puntuale individuazione dei trattamenti di dati personali –eventualmente, ma non necessariamente organizzati in banche dati– dovrà essere effettuata in relazione alle specifiche attività attribuite al predetto Istituto, anche attraverso un espresso rinvio alle disposizioni che le prevedono (uno o più commi degli articoli 15 e 55 del d. lg. n. 259/2003 o altre disposizioni eventualmente da richiamare nello schema).

Per quanto riguarda, in particolare, il trattamento dei dati personali contenuti negli elenchi degli abbonati ai servizi telefonici (art. 55 d. lg. n. 259/2003), il recente provvedimento del Garante del 15 luglio scorso (in allegato) ha individuato compiutamente le finalità del trattamento di tali dati e le modalità di gestione della base di dati unica della clientela in procinto di essere adottata.

Non spetta, evidentemente, al Garante fornire alcuna indicazione circa il soggetto cui attribuire la gestione di tale base di dati, tuttavia si segnala all´attenzione di codesto Ministero l´opportunità di tener conto del dialogo in corso in tale materia fra i gestori di telefonia, come pure delle possibili ricadute sul diritto alla concorrenza che potrebbe avere una disposizione normativa che individui un unico soggetto pubblico competente.

A tale riguardo, si ravvisa l´esigenza di calibrare meglio il tipo di attribuzioni che si vorrebbero conferire in tale settore all´Istituto (se di reale gestione o non, piuttosto, di vigilanza, monitoraggio, ecc.), tenendo opportunamente presenti  i compiti attribuiti in materia a  codesto Ministero –di vigilanza sulla disponibilità di tali elenchi (art. 55, comma 2, d. lg. n. 259/2003)- e,  in generale, allo stesso Istituto superiore delle comunicazioni (art. 41 l. 16 gennaio 2003, n.3).

L´Autorità rimane pienamente a disposizione per ogni eventuale chiarimento che dovesse rendersi necessario.

IL SEGRETARIO GENERALE
Giovanni Buttarelli