Nel periodo di riferimento, il Garante per la protezione dei dati personali ha adottato nove autorizzazioni generali:
Autorizzazione generale al trattamento dei dati genetici, (G.U. n. 159 dell'11 luglio 2011); Esonero dall’obbligo di notificazione del trattamento di dati genetici effettuato da organismi di mediazione, (G.U. n. 161 del 13 luglio 2011); Autorizzazione n. 1/2011 al trattamento dei dati sensibili nei rapporti di lavoro, (G.U n. 162 del 14 luglio 2011); Autorizzazione n. 2/2011 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale (G.U. n. 162 del 14 luglio 2011); Autorizzazione n. 3/2011 al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni (G.U. n. 162 del 14 luglio 2011); Autorizzazione n. 4/2011 al trattamento dei dati sensibili da parte dei liberi professionisti ( G.U. n. 162 del 14 luglio 2011); Autorizzazione n. 5/2011 al trattamento dei dati sensibili da parte di diverse categorie di titolari (G.U. n. 162 del 14 luglio 2011); Autorizzazione n. 6/2011 al trattamento dei dati sensibili da parte degli investigatori privati (G.U. n. 162 del 14 luglio 2011); Autorizzazione n. 7/2011 al trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici (G.U. n. 162 del 14 luglio 2011).
È stato poi adottato un provvedimento sulla “Titolarità del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali” (G. U. n. 153 del 4 luglio 2011), con il quale il Garante ha chiarito che gli outsourcer (soggetti che compiono attività di marketing in nome e per conto di terzi) non possono essere considerati titolari autonomi del trattamento dei dati, ma devono essere nominati responsabili. Giova ricordare la distinzione operata nel Codice in materia di protezione dei dati personali tra “titolare” e “responsabile” del trattamento. L’art. 4 del Codice prevede che il titolare è il soggetto cui competono “le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”, mentre il responsabile viene identificato come il soggetto preposto dal titolare al trattamento di dati personali. La differenza è di non poco conto, perché solo il titolare è responsabile per l’illiceità del trattamento dei dati personali, non anche il responsabile. Il Garante ha chiarito che le società che trattano dati in outsource non possono essere considerate titolari del trattamento, perché l’attività che svolgono è per conto della società mandante. Il provvedimento tende quindi a evitare che il mandante, la società che poi nei fatti trae beneficio dalla campagna pubblicitaria, non sia responsabile dell’eventuale trattamento illecito dei dati realizzato da parte dei soggetti che realizzano l’attività di promozione commerciale.
Benché precedente al periodo di riferimento, appare opportuno dar nota della sentenza 14 aprile 2011, n. 8487, con cui la Corte di Cassazione a Sezioni Unite si è pronunciata sulla competenza giurisdizionale per gli atti del Garante. Nel caso di specie, l’Autorità non aveva dato riscontro all’istanza di una società che chiedeva di essere autorizzata a esigere un contributo dai chi pretendeva l’accesso ai dati. Stante il silenzio del Garante, la suddetta società era ricorsa al TAR, ma l’Autorità aveva eccepito il difetto di giurisdizione, ai sensi dell’art. 152 del Codice in materia di trattamento dei dati personali. La Suprema Corte ha avvalorato la tesi del Garante affermando che “la piana lettura e la altrettanto piana interpretazione delle norme dianzi ricordate, la cui cristallina espressione letterale (rara avis) non lascia margini a dubbi circa l'intentio legis di attribuire l'intera materia alla cognizione dell'AGO, senza eccezioni di sorta e senza che a ciò risulti di ostacolo la norma costituzionale di cui all'art. 103, più volte evolutivamente interpretata sia da questa stessa corte di legittimità (Cass. ss.uu. 3521/1994), sia dallo stesso Giudice delle leggi nel senso che anche alla predetta autorità giudiziaria è consentito, per effetto di conforme disposizione del legislatore ordinario, di conoscere di interessi legittimi, di conoscere ed eventualmente annullare un atto della P.A., di incidere conseguentemente sui rapporti sottostanti secondo le diverse tipologie di intervento giurisdizionale previste”.
La Suprema Corte, infine, giudica positivamente la scelta del legislatore di riservare l’intera materia del trattamento dei dati personali al Giudice ordinario “poiché la materia dell'accesso ai dati personali e dei costi di esercizio di tale diritto presenta una indiscutibile, reciproca, inestricabile interferenza di diritti e interessi legittimi, nella quale, peraltro, netta appare la prevalenza dei primi rispetto ai secondi”.