TAR Sicilia: i dati personali non sono quelli delle persone giuridiche
Pillole di Privacy #9 – 25/10/2018
Nella mia “pillola di Privacy” #2 del 10 settembre 2018 ne avevo parlato genericamente.
Ora il TAR della Sicilia lo sentenzia. Vediamo come.
Con sentenza pubblicata il 1 ottobre 2018, (Decisione 1 ottobre 2018, n. 2020) il TAR Sicilia si è pronunciato in merito alla definizione di “dato personale” ed al relativo ambito di applicazione.
Il TAR è stato chiamato a pronunciarsi in merito alla legittimità di un provvedimento di autorizzazione all’accesso agli atti, emanato a seguito della richiesta di ottenimento di determinate informazioni, relativi ad operazioni di bonifico effettuate a favore di un ente.
La legittimità di tale provvedimento è contestata sulla base della lamentata violazione dell’articolo 5-bis, comma 2, del D. lgs. n. 33/2013, secondo cui: “l’accesso… è rifiutato se il diniego è necessario per evitare un pregiudizio concreto alla tutela di interessi privati” tra cui è, in particolare, compresa “la protezione dei dati personali, in conformità con la disciplina legislativa in materia”.
Il motivo dedotto dal ricorrente offre l’occasione al TAR per approfondire l’invocata tutela dei dati personali, alla luce della disciplina introdotta dal regolamento (UE) 2016/679 e, nello specifico, per fornire proprie indicazioni in merito alla definizione di “dato personale”, identificato come “qualsiasi informazione riguardante una persona fisica identificata o identificabile, quali nome, cognome, data di nascita, numero di telefono, codice fiscale, numero di conto corrente e informazioni che permettono di sapere quando, con chi e per quanto tempo ci si è collegati in rete: indirizzo e-mail, i c.d. file di log”.
Il TAR richiama gli interventi di modifica apportati all’allora vigente “Codice in materia di protezione dei dati personali” dall’articolo 40 del d.l. n. 201 del 2011, per effetto dei quali il riferimento a “persona giuridica, ente o associazione” era stato espunto dalla definizione di “dato personale”, in tal modo limitando l’ambito di applicazione della disciplina relativa al trattamento dei dati personali alle sole persone fisiche, impostazione confermata anche dall’assetto attuale, di cui al Regolamento Ue 679/2016. Lo stesso TAR, infatti, riconosce che “il GDPR non disciplina in alcun modo il trattamento dei dati che riguardano la persona giuridica (salvo poche eccezioni che, tuttavia, non interessano in questa sede) atteso che dalla definizione di “dato personale” e di “interessato” … rimane escluso qualsiasi riferimento a persone giuridiche, enti o associazioni” ).
Le considerazioni che precedono hanno portato il TAR a ritenere non applicabile la limitazione contenuta nella normativa invocata dal ricorrente relativa alla protezione dei dati personali, trattandosi “della richiesta di informazioni riguardanti non una persona fisica ma una persona giuridica”.