Con riferimento agli obblighi ed adempimenti di cui alla L. 675/96 e con particolare riguardo alla Vs. situazione aziendale, comunico quanto .segue.
Appare innanzitutto opportuno, per una maggiore chiarezza, operare la distinzione fra dati relativi a dipendenti e/o soggetti che, in vario modo e titolo, intrattengono con l'Azienda rapporti di lavoro e dati riguardanti soggetti terzi.

Per ciò che attiene ai dati relativi a soggetti terzi, diversi dai dipendenti, è previsto sia l'obbligo di informativa che quello di raccolta del consenso, con alcune precisazioni.

OBBLIGO DI INFORMATIVA: l'obbligo di informativa non opera quando si tratta di dati in possesso dell'Azienda all'8.5.97. Se al contrario i suddetti dati sono pervenuti dopo l'8.5.97 è necessario fornire al titolare l'informativa prevista dall'art. lO della legge citata.
Consiglio in ogni caso per i dati sensibili di cui la Vostra Azienda disponeva, anche prima dell'8.5.97, di inviare la predetta informativa.

OBBLIGO DI OTTENERE IL CONSENSO (art. 11 e 12 L. 675/97):. all'informativa di cui sopra segue la richiesta del consenso al trattamento all'interessato. Naturalmente, laddove non sussista obbligo di informativa, non esiste neppure l'obbligo di richiesta del consenso. Peraltro, consiglio, anche in questo caso, per i dati sensibili presenti già all' 8.5.97 di richiedere il consenso unitamente all'invio dell' informativa.
L'obbligo di cui all'art. 11 è comunque senz'altro operante per i dati personali pervenuti dopo l'8.5.97.
Esistono peraltro alcune rilevanti esclusioni di tale obbligo, indicate dal legislatore, con previsione piuttosto ampia, all'art. 12 della legge: "il consenso non è richiesto quanto il trattamento:
a) riguarda dati raccolti e detenuti in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;
b) è necessario per l'esecuzione di obblighi derivanti da un contratto del quale è parte l'interessato o per l'acquisizione di informative precontrattuali attivate su richiesta di quest'ultimo, ovvero per l'adempimento di un obbligo legale;
c) riguarda dati provenienti da pubblici registri elenchi, atti o documenti conoscibili da chiunque;
d) è finalizzato unicamente a scopi di ricerca scientifica o di statistica e si tratta di dati anonimi;
e) è effettuato nell'esercizio della professione di giornalista e per l'esclusivo perseguimento delle relative finalità, nel rispetto del codice di deontologia di cui all'articolo 25;
f) riguarda dati relativi allo svolgimento di attività economiche raccolti anche ai fini indicati nell'articolo 13, comma 1, lettera e), nel rispetto della vigente normativa in materia di segreto aziendale e industriale;
g) è necessario per la salvaguardia della vita o dell'incolumità fisica dell'interessato o di un terzo, nel caso in cui l'interessato non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere;
h) è necessario ai fini dello svolgimento delle investigazioni di cui all'articolo 38 delle norme di attuazione, di coordinamento e transitorie del codice di procedura penale, approvate con decreto legislativo 28 luglio 1989, n. 271, e successive modificazioni, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento".
Conseguentemente, qualora si versi in una delle ipotesi di cui al suddetto articolo , pur essendo operativo l'obbligo di informativa, il trattamento può svolgersi indipendentemente dal consenso del titolare dei dati.

NOTIFICA AL GARANTE: occorre operare una prima distinzione fra dati relativi a persone giuridiche, enti ed associazioni per i quali non sussiste obbligo di notifica e dati riguardanti persone fisiche per i quali tale obbligo è prescritto. Con riferimento a tale ultima categoria di dati si distingue ulteriormente il caso del trattamento automatizzato e di quello non automatizzato. Nel primo è previsto, qualora il trattamento sia iniziato prima dell' 1.1.98, l'obbligo di notifica da eseguirsi con decorrenza 1.1.98 al 31.3.98. Se invece il trattamento viene fatto dopo il 1.1.98 la notifica deve essere effettuata prima dell'inizio del trattamento. Nel caso di trattamento non automatizzato, se trattasi di dati sensibili, la predetta notifica deve comunque eseguirsi con le scadenze sopra indicate (1.1.98-31.3.98), mentre per gli altri dati personali è previsto un più ampio termine, dall'1.4.98 al 30.6.98.

AUTORIZZAZIONE DA RICHIEDERSI AL GARANTE: la richiesta di autorizzazione è obbligatoria solo per i dati sensibili indicati nell'art. 22 (dati relativi all'origine razziale ed etnica, alle convinzioni religiose, filosofiche o di altro genere, alle opinioni politiche, all'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati idonei a rivelare lo stato di salute e la vita sessuale).

Per i dati relativi a dipendenti o soggetti che intrattengo rapporti di lavoro con l'Azienda (lavoratori a tempo parziale, consulenti e liberi professionisti, prestatori di collaborazione coordinata e continuativa), gli obblighi e conseguenti adempimenti sopra ricordati subiscono rilevanti limitazioni. In particolare, con riguardo all'obbligo di richiesta dell'autorizzazione, si ricorda il provvedimento adottato dal Garante in data 19.11.97, che prevede un'autorizzazione generale per il trattamento dei dati sensibili nei rapporti di lavoro.
Quindi, se i dati personali sensibili si riferiscono a dipendenti e/o soggetti con i quali la Vs. società intrattiene rapporti di lavoro, non è più previsto l'obbligo di richiesta dell'autorizzazione al trattamento, almeno fino al 30.9.98, data prevista per la scadenza della suddetta autorizzazione generale.
Naturalmente rimane fermo, pur in presenza dell'autorizzazione generale, l'obbligo di informare l'interessato al momento della raccolta nonché quello di richiedere il suo consenso, con le modalità già in precedenza ricordate.
Esiste poi una specifica previsione riguardante i dati sensibili relativi allo stato di salute e alla vita sessuale per i quali l'autorizzazione generale vale per tutte le forme di trattamento con esclusione della comunicazione e diffusione degli stessi. Infatti la diffusione e comunicazione è sempre vietata con riferimento a quelli sulla vita sessuale ed è autorizzata in via generale per quelli sullo stato di salute solo se necessaria alla prevenzione, accertamento o repressione di reati.
Per queste due ultime categorie di dati occorrerà pertanto richiedere comunque l'autorizzazione al Garante quando ne sia necessaria la diffusione e comunicazione, in ipotesi diverse da quelle sopra ricordate.

Ricordo infine, fermo restante quanto già detto, le prescrizioni relative al TRASFERIMENTO DI DATI ALL'ESTERO: nessun obbligo è previsto quando il trasferimento viene fatto verso Paesi appartenenti all'Unione Europea e si tratti di dati personali non sensibili.
Nel caso di dati sensibili, invece, è necessario, prima del trasferimento, effettuare la notificazione al Garante, il quale adatterà il proprio provvedimento entro 20 giorni. Qualora lo stesso non provveda si può iniziare il trasferimento. Infine, se il trasferimento dei dati personali (sensibili e non) viene fatto verso Paesi non appartenenti all'Unione, occorre sempre la preventiva notificazione al garante.
Anche in questo caso, decorsi 20 giorni, il silenzio dell'Autorità vale come autorizzazione. Anche in questo caso esistono, però, rilevanti esclusioni per tale obbligo ex art. 28: "il trasferimento è comunque consentito qualora:
a) l'interessato abbia manifestato il proprio consenso espresso ovvero, se il trasferimento riguarda taluno dei dati di cui agli articoli 22 e 24, in forma scritta;
b) sia necessario per l'esecuzione di obblighi derivanti da un contratto del quale è parte l'interessato o per l'acquisizione di informative precontrattuali attivate su richiesta di quest'ultimo, ovvero per la conclusione o per l'esecuzione di un contratto stipulato a favore dell'interessato;
c) sia necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge o con regolamento, ovvero specificato ai sensi degli articoli 22, comma 3, e 24, se il trasferimento riguarda taluno dei dati ivi previsti;
d) sia necessario ai fini dello di cui all'articolo 38 delle norme di attuazione, di coordinamento e transitorie del codice di procedura penale, approvate con decreto legislativo 28 luglio 1989, n. 271, e successive modificazioni, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trasferiti esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento;
e) sia necessario per la salvaguardia della vita o dell'incolumità fisica dell'interessato o di un terzo, nel caso in cui l'interessato non può prestare il proprio consenso per impossibilità di intendere e di volere;
f) sia effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi, ovvero di una richiesta di informazioni estraibili da un pubblico registro, elenco, atto o documento conoscibili da chiunque, con l'osservanza delle norme che regolano la materia".

La Legge 675/96 ha inoltre previsto particolari adempimenti a livello organizzativo- aziendale per i soggetti che intendano trattare i dati personali, delineando le figure del titolare, responsabile ed incaricato del trattamento.
Con riferimento al titolare ( il caso aveva dato luogo ad equivoci interpretativi ed applicativi della legge), il Garante, nel comunicato stampa dell' 11.2.97, ha specificato che, seppure, nel caso di trattamento effettuato nell'ambito di una società, il titolare debba essere considerato la struttura nel suo complesso e non singole persone fisiche, comunque occorrerà individuare . Nel titolare si individua il destinatario dei precetti normativi riguardanti la notificazione, la raccolta, la richiesta del consenso, il rilascio dell'informativa all'interessato, la notifica al Garante per il trasferimento dei dati all'estero, la richiesta di autorizzazione per i dati sensibili, l'adozione delle misure di sicurezza, gli obblighi relativi alla cessazione del trattamento, l'obbligo di risarcimento per i danni causati a seguito del trattamento e la sottoposizione a sanzioni penali in caso di inosservanza delle prescrizioni previste dalla legge.
Il responsabile non è figura "obbligatoria" (può coincidere con il titolare), ma tenuto conto delle dimensioni della Vs. società ne ritengo opportuna la nomina. Sarà il titolare ad effettuare la nomina stessa con precisazione dei compiti allo stesso delegati attraverso la redazione del cd. mansionario.
L'incaricato (o incaricati) sono i soggetti che devono materialmente elaborare i dati personali. Per il conferimento dell'incarico, anche in assenza di esplicita previsione legislativa, si ritiene necessaria la forma scritta.