La
notificazione del trattamento nella normativa Privacy
di
Elena Bassoli
Con l’art. 37 si apre il titolo VI del Codice in materia di protezione dei dati personali, dedicato agli adempimenti.
Gli articoli 37 e 38 completano l’intervento di semplificazione e razionalizzazione del sistema delle notificazioni già avviato dal decreto legislativo n. 467/2001, rivelatosi, sulla base dell’esperienza, per alcuni aspetti non indispensabile rispetto alle reali finalità di trasparenza perseguite dalla direttiva comunitaria.
Con le modifiche apportate, si snelliscono gli adempimenti in favore sia di soggetti privati, sia della pubblica amministrazione. Si prevede, infatti, l’individuazione di un elenco “in positivo” di un numero più ristretto di categorie di trattamenti soggetti a notificazione, modificando il precedente impianto della normativa che, com’è noto, prevedeva un obbligo più ampio di effettuare la notificazione e individuava, poi, alcuni casi di esonero dall’obbligo o forme semplificate di notificazione.
Il codice, completando, come si è detto, l’intervento normativo avviato dal d.lg. n. 467/2001, che aveva individuato le linee generali del nuovo sistema e demandato ad un regolamento governativo la determinazione dei casi e della modalità della notificazione, individua in positivo le tipologie dei trattamenti oggetto di notificazione al Garante in quanto suscettibili di recare pregiudizio ai diritti e alle libertà dell’interessato.
A partire dal 1° gennaio 2004 sono tenuti a
notificare solo alcuni soggetti, ossia solo i titolari che effettuano una o più
attività di trattamento tra quelle specificamente indicate dal Codice (la
precedente normativa, invece, prevedeva per tutti i titolari l’obbligo di
effettuare la notificazione, a meno che potessero avvalersi dei casi di esonero
o di possibile utilizzazione di una notificazione semplificata).
Il Garante potrà individuare, con proprio
provvedimento, nell’ambito dei trattamenti che devono essere notificati, alcuni
trattamenti che presentano minori rischi per i diritti degli interessati e che
possono pertanto essere esonerati dalla notificazione; potrà, al contrario,
anche indicare altri trattamenti al momento non indicati espressamente dalla
legge, che dovranno essere notificati.
La disciplina in materia di notificazione del
trattamento dei dati personali è contenuta negli artt. 37, 38, 154, comma 1,
lett. l), 163, 168, 181, comma 1, lett. c), 16, 162, comma 1, del d.lg. 30
giugno 2003, n. 196 (Codice in materia di protezione dei dati personali).
Si sottolinea che in ogni caso il titolare che
non è tenuto alla notificazione deve comunque fornire le notizie contenute nel
modello di notificazione a chi ne fa richiesta (nell’esercizio del diritto di
accesso e degli altri diritti riconosciuti all’interessato), a meno che il
trattamento riguardi pubblici registri, elenchi, atti o documenti conoscibili
da chiunque.
La notificazione è una dichiarazione con la
quale un soggetto pubblico o privato rende nota al Garante per la protezione
dei dati personali l’esistenza di un’attività di raccolta e di utilizzazione
dei dati personali, svolta quale autonomo titolare del trattamento.
Viene trasmessa dal titolare del trattamento
al Garante, tramite il sito www.garanteprivacy.it
e utilizzando la procedura indicata nelle istruzioni.
Per le attività di trattamento dei dati che non
esistevano prima del 1° gennaio 2004, la notificazione va effettuata prima che
inizi il trattamento medesimo. Per le attività che erano già in essere prima
del 1° gennaio 2004, la notificazione si può effettuare entro il 30 aprile
2004.
La notificazione va effettuata una sola volta,
indipendentemente dalla durata, dal tipo e dal numero delle operazioni di
trattamento, sia che si effettui un solo trattamento, sia che si curino più
attività di trattamento con finalità correlate tra loro.
Di norma essa va effettuata una-tantum, all’inizio
del trattamento e non necessita pertanto di ripetizione[1].
Una nuova notificazione è richiesta solo:
a) prima che cessi definitivamente l’attività
di trattamento;
b) oppure prima che si apportino al
trattamento alcune modifiche agli elementi da indicare nella notificazione.
Nel caso in cui si trasferiscano dati all’estero,
la circostanza va indicata nella stessa, unica notificazione che riguarda
questi dati.
Ogni notificazione inviata al Garante (prima notificazione,
modifica o cessazione del trattamento) deve essere accompagnata dal pagamento
dei diritti di segreteria, il cui importo è fissato in euro 150,00.
Per indicare la modalità di pagamento
prescelta va compilato l’apposito riquadro. Si suggerisce di privilegiare il
pagamento on line
mediante carta di credito su protocollo sicuro, pur essendo consentite altre
modalità (bonifico bancario, conto corrente postale, banco posta); per questi
casi occorre indicare gli estremi del pagamento nell’apposito riquadro sul sito
del Garante[2].
Per perfezionare la notificazione è necessario
sottoscriverla con firma digitale (art. 10, comma 3, d.P.R. n. 445/2000). A tal
fine, il titolare del trattamento deve utilizzare un dispositivo di firma
digitale disponibile presso uno dei certificatori accreditati ai sensi
dell’art. 2, comma 1, lett. c), d. lg. n. 10/2002. L’elenco dei certificatori è
rinvenibile sul sito www.cnipa.gov.it.
La notificazione così sottoscritta va
trasmessa per via telematica al Garante.
Il Garante stipulerà apposite convenzioni con
soggetti qualificati (di seguito denominati “intermediari”). Ciò per permettere
la sottoscrizione della notificazione con firma digitale laddove il notificante
non fosse in possesso del dispositivo di firma digitale. In questo caso il
notificante deve recarsi presso uno dei soggetti convenzionati munito del
proprio ID temporaneo e di un documento di riconoscimento (ed eventualmente
della ricevuta di versamento dei diritti di segreteria, ove non avesse già
provveduto ad inserire gli estremi nell’apposito campo) e, avvalendosi della
firma digitale dell’intermediario, trasmettere in via telematica
L’elenco degli organismi convenzionati è
visibile alla casella “convenzioni” del menù principale.
Una volta eseguite le operazioni (inserimento
dei dati, pagamento dei diritti di segreteria, apposizione della firma digitale
e trasmissione in via telematica) e trasmessa la notificazione in via
telematica, verrà inviato dal Garante con l’indicazione di giorno, ora e
minuto, un ID permanente (C.U.N.) da conservare a cura del notificante. Il
C.U.N. verrà comunicato al solo notificante per posta elettronica.
Solo con l’inserimento del C.U.N. il
notificante potrà accedere, in tempi successivi, alla notificazione per
modificarla o per provvedere alla notificazione della cessazione del
trattamento; il C.U.N., inoltre, permette di “legare” le notificazioni
effettuate nel tempo da uno stesso titolare.
L’intermediario rilascia ricevuta,
controfirmata anche dal notificante, di avvenuto invio della notificazione.
Consegna altresì, a richiesta del notificante, una copia a stampa della
notificazione.
Concluse le operazioni, l’intermediario deve
cancellare dal proprio sistema operativo il file contenente la notificazione inviata[3].
Pervenuta la notificazione al Garante, viene
effettuato un controllo sulla veridicità della firma digitale apposta e vengono
segnalate al notificante eventuali anomalie; in tal caso il Garante invia un
messaggio di richiesta di regolarizzazione/completamento assegnando un termine,
decorso inutilmente il quale la notificazione viene eliminata dalla memoria del
sistema informativo del Garante; di ciò è dato avviso al notificante.
La sottoscrizione digitale che, verificata,
non risulti conforme, invalida la notificazione.
In caso di regolarizzazione, la data della
notificazione è quella in cui la regolarizzazione stessa è memorizzata nel
sistema informativo del Garante.
La notificazione
del trattamento dei dati al Garante è assimilabile ad una “denunzia di inizio attività” ed
ha la funzione di consentire un controllo di conformità alla legge delle
operazioni di trattamento[4].
L’istituto della
notificazione non è una novità. Esso era già presente all’art. 8 della
Convenzione di Strasburgo[5]
che prevede la possibilità per chiunque di conoscere l’esistenza di un archivio
contenente dati personali, i fini per i quali è stato costituito, l’identità e
la residenza o la sede del responsabile.
L’obbligo della
notificazione all’Autorità garante è altresì espressamente previsto dalla
Direttiva comunitaria 95/46, agli artt. 18 e 19.
Da queste fonti
normative risulta chiaro che lo scopo sia quello di rendere conoscibile
l’esistenza del trattamento al fine di consentirne il controllo, sia da parte
dell’interessato, sia da parte dell’autorità[6].
È stata oggetto
di modifiche rispetto all’impianto legislativo originario. In particolare il d.
lgsl. 255/1997, a seguito di critiche sull’abnorme estensione dell’adempimento,
tale da paralizzare l’attività stessa dell’Ufficio del Garante, ha introdotto
alcune semplificazioni miranti allo snellimento delle procedure di
notificazione.
L’art. 3 del decreto
467/2001[7], ha in seguito
sostanzialmente accolto le critiche di ingiustificata severità che erano state
mosse fin da principio all’impianto notificatorio previsto dall’art. 7 della
legge 675/96. Esso ha modificato la trama normativa anzitutto sotto il profilo
del precetto, riducendo gli obblighi di notificazione del trattamento[8].
La notificazione, infatti, a
seguito della novella, non costituiva più un obbligo generalizzato e
indiscriminato per chiunque, ma era soggetta ad una valutazione ex ante
in ragione delle modalità del trattamento o della natura dei dati personali,
sempre che il trattamento fosse suscettibile di recare pregiudizio ai diritti e
alle libertà dell’interessato. In tal modo, finalmente, l’obbligo di
notificazione cominciava a risultare ancorato alla pericolosità del trattamento
rispetto ai diritti individuali coinvolti[9].
Tuttavia tale modifica, pur
avendo avuto il lodevole pregio di voler attuare una semplificazione con
benefiche ricadute sia sui titolari di banche dati, sia sull’Ufficio del
Garante, è apparsa fin da subito, affetta da eccessiva vaghezza. Infatti essa
lasciava nell’indeterminatezza le modalità di individuazione dei trattamenti
“suscettibili di recare pregiudizio ai diritti e alle libertà” e non indicava
il soggetto autore di tale individuazione. Prima facie la novella
sembrava riferirsi al titolare stesso della banca dati che avrebbe riassunto in
sé, con un evidente paradosso logico, sia la funzione di controllore, sia
quella di controllato. Ma se il titolare avesse omesso la notifica al Garante,
giudicando erroneamente di non recare pregiudizio ai diritti e alle libertà, in
seconda istanza l’autore dell’individuazione sarebbe stato il Garante, o
l’autorità giudiziaria investita della questione dubbia.
Ad ogni modo il
rapporto tra regola ed eccezione viene a capovolgersi, essendo ormai norma
generale quella della non-notificazione.
Ciò ha peraltro
inciso, come accennato, sul modus operandi dell’Ufficio del Garante, il
quale, a norma dell’art. 31 della legge detiene il Registro generale dei
trattamenti, che d’ora in poi, anziché contenere una quantità indiscriminata di
dati relativi anche ad archivi più o meno inoffensivi, si trasforma in una
sorta di black list degli archivi potenzialmente pericolosi[10].
Si tratta, in sintesi, dei seguenti trattamenti, tutti relativi ad ambiti di particolare delicatezza:
a) dati genetici, biometrici o dati sull’ubicazione di persone od oggetti, da chiunque effettuati;
b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati per particolari finalità sanitarie (a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, ecc.);
c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da organismi senza scopo di lucro;
d) dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica, con esclusione, però, dei trattamenti tecnicamente indispensabili per fornire i medesimi servizi agli utenti;
e) dati sensibili registrati in banche di dati a fini di selezione del personale, ma solo nei casi in cui ciò avvenga per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione e simili;
f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica e simili (c.d “centrali rischi”).
A completamento del sistema si prevede che il Garante possa prevedere con proprio provvedimento adottato in sede di controllo preliminare (art. 17), che siano soggetti a notificazione anche altri trattamenti in ragione del rischio derivante per i diritti dell’interessato.
Vari sono, inoltre, gli interventi di ulteriore semplificazione del sistema.
L’art. 37 prevede, anzitutto, che l’Autorità possa individuare, nell’ambito dei trattamenti individuati dalla norma e appena descritti, eventuali trattamenti non suscettibili, in concreto, di recare pregiudizio agli interessati e quindi sottratti all’obbligo di notificazione.
La
notificazione potrà essere, poi, effettuata su un modello più snello di quello
attuale, mentre un altro significativo elemento di semplificazione è
riscontrabile nella soppressione dell’obbligo di effettuare una specifica
notifica dei dati destinati all’estero (cfr. art. 43, rispetto al previgente
art.
Le notificazioni sono inserite nel registro dei trattamenti tenuto dal Garante, ove sono consultabili da chiunque con modalità agevoli.
Le notificazioni sono inserite in un registro
pubblico che sarà consultabile gratuitamente da tutti on-line sul
sito dell’Autorità all’indirizzo http://www.garanteprivacy.it.
Il cittadino può così acquisire notizie e può
utilizzarle per le finalità di applicazione della disciplina in materia di
protezione dei dati personali (ad esempio, per esercitare il diritto di accesso
ai dati o altri diritti riconosciuti dal Codice in materia di protezione dei
dati personali).
Mediante il registro saranno effettuati
controlli sui trattamenti oggetto di notificazione, verificando le notizie in
essa contenute.
Nel registro dei
trattamenti non compaiono i nomi delle persone cui si riferiscono i dati. Tuttavia, le notizie accessibili mediante la
consultazione del registro permettono di capire che tipo di dati sono trattati.
Pur rinviando per l’analisi
dettagliata delle sanzioni agli articoli di riferimento, si rende qui opportuno
anticipare le conseguenze del mancato adempimento alle disposizioni in tema di
notificazioni.
Infatti se si
omette la notificazione o la si presenta in ritardo o incompleta il titolare è punito con una
sanzione pecuniaria (da diecimila euro a sessantamila euro) e con la pena
accessoria della pubblicazione dell’ordinanza che applica la sanzione stessa in
uno o più giornali, per intero o per estratto.
Mentre a falsa dichiarazione è
un reato, punito con la reclusione (da sei mesi a tre anni e salvo che il fatto
configuri un reato più grave).
Notificazione di cessazione del trattamento
per gli enti pubblici
Gli enti pubblici che provvedono allo scarto
di atti d’archivio non devono effettuare una nuova notificazione al Garante[11].
Così si è pronunciato il Garante rispondendo ad alcune amministrazioni
pubbliche e alcune ASL che hanno comunicato all’Autorità di essere in procinto
di effettuare uno scarto di atti d’archivio, ritenendo che tale circostanza
dovesse essere notificata al Garante come cessazione di un trattamento di dati
personali ai sensi dell’art.16 della stessa legge. In realtà la legge sulla
protezione dei dati non modifica le norme vigenti in materia di archivi di
Stato e, in particolare, delle norme in materia (D.P.R. n. 1409 del 1963), che
prevedono per gli enti pubblici la possibilità di stabilire quali documenti d’archivio
siano da scartare e distruggere, sulla base di un apposito provvedimento da
sottoporre all’approvazione dell’autorità vigilante sull’ente e previo nulla
osta del competente sovrintendente archivistico.
Il Garante ha precisato che le ipotesi di
cessazione del trattamento riguardano i soli casi in cui il titolare, anche se
ente pubblico (regione, provincia, comune, azienda ospedaliera, camera di
commercio, ecc.) intenda, per qualsiasi causa, interrompere in via definitiva l’intero
complesso di operazioni concernenti un determinato trattamento di dati
personali.
Come già chiaro nel modello di notificazione
predisposto dall’Autorità, se l’amministrazione pubblica sopprime, anche se in
parte, un singolo archivio o elimina taluni dati ma prosegue, comunque, la
complessiva attività di trattamento di dati personali, non deve effettuare una
nuova notificazione al Garante, non deve cioè comunicare nuovamente l’esistenza
della banca dati modificata.
Questo perché l’effettuazione di uno scarto di
atti d’archivio non corrisponde, di per sé, ad una effettiva e completa
cessazione del trattamento di dati connesso alle attività istituzionali dell’amministrazione,
ma soltanto ad una parziale eliminazione, attraverso la distruzione di
documenti o fascicoli, di quelle informazioni personali la cui conservazione
sia ormai ritenuta inutile ai fini amministrativi e storici.
Si dovrà, invece, procedere alla modifica della notificazione già inviata se la distruzione degli atti comporta un cambiamento di uno o più degli elementi fondamentali del trattamento dei dati personali (ad esempio, delle finalità, delle modalità, del luogo di custodia dei dati, ecc.).
Comunicazione dati su persone giuridiche
all’estero nell’ambito della professione legale
La comunicazione di dati sulla solvibilità e
sullo stato d’insolvenza di un’impresa è conforme alla legge sulla privacy e può
avvenire anche senza il consenso dell’azienda interessata. Lo ha stabilito il
Garante in un provvedimento[12]
con cui ha respinto il ricorso presentato da una società commerciale che
intendeva opporsi alla diffusione, da parte di un’impresa creditrice, di informazioni
sulla propria situazione patrimoniale. La contestazione riguardava il
riferimento ad un presunto stato di insolvenza contenuto in una lettera
inviata, per il tramite di un legale, dall’impresa creditrice ad un’altra
società situata all’estero allo scopo di diffidarla dal pagare un debito a sua
volta contratto con la società ricorrente.
Riaffermando principi contenuti in precedenti
provvedimenti, l’Autorità ha rigettato il ricorso respingendo le considerazioni
sulla mancata notificazione del trasferimento dei dati all’estero da parte dell’avvocato
della società creditrice, poiché il trattamento di informazioni riguardanti le
persone giuridiche non è soggetto a notifica e comunque il libero
professionista (l’avvocato, in questo caso) non è tenuto a notificare i
trattamenti di dati svolti nell’ambito delle proprie attività professionali.
L’adozione delle misure di sicurezza non
comporta l’obbligo di una nuova notifica
L’adozione delle misure minime di sicurezza,
secondo le norme del regolamento n. 318/1999 per prevenire trattamenti illeciti
o dispersioni dei dati personali, non comporta l’obbligo di ripresentare la
notifica a suo tempo inviata al Garante per segnalare l’esistenza di un
trattamento.
Con un provvedimento approvato il 29 febbraio
2000[13],
l’Autorità ha chiarito alcuni aspetti applicativi della nuova normativa in
materia di sicurezza rispetto agli altri adempimenti previsti dalla legge sulla
privacy.
La legge n. 675 del 1996, infatti, prevede che
le notificazioni sull’esistenza di trattamenti di dati personali, da comunicare
al Garante prima del loro inizio e per una sola volta a prescindere dal numero
di archivi e di operazioni da svolgere, debbano però essere aggiornate in caso
di variazione di uno degli elementi essenziali della notifica. Tra questi
elementi figura anche una descrizione delle misure organizzative, fisiche e
logiche, adottate per la sicurezza dei dati da fornire attraverso una serie di
indicazioni.
Per evitare che l’applicazione delle nuove
norme sulla sicurezza comporti la necessaria rettifica delle precedenti
comunicazioni, e allo scopo quindi di semplificare l’attuazione della legge, il
Garante ha dunque stabilito che i soggetti che hanno notificato i trattamenti
dei dati personali prima del 29 marzo 2000 non devono presentare una nuova
dichiarazione, qualora abbiano adottato, nel rispetto dei nuovi obblighi, le
misure di sicurezza previste dal regolamento n. 318/99.
[1] Per ciascuna tabella, riquadro o campo da compilare, sono inseriti alcuni box contenenti spiegazioni per la compilazione (contrassegnati con il simbolo "?"), quale ausilio in caso di dubbi. Inoltre ci si può collegare al sito del Garante www.garanteprivacy.it per consultare la normativa di riferimento e le faq. Infine, per brevi spiegazioni, può essere contattato l’Ufficio relazioni con il pubblico del Garante.
[2] Le coordinate bancarie per effettuare il pagamento sono: c.c. 000000018373 intestato a "Garante per la protezione dei dati personali" - ABI 05164 - CAB 03202 - presso Banca Popolare di Lodi, ag. n. 2 di Roma, via Bevagna, 24, 00191 Roma. Il pagamento può anche essere effettuato sul c.c. postale n. 97204002 intestato a "Garante per la protezione dei dati personali", Piazza di Monte Citorio, 115/121, 00186, Roma, indicando come causale “diritti di segreteria per notificazione”.
[3] Per poter effettuare successive modifiche della notificazione oppure notificare la cessazione del trattamento è necessario indicare il C.U.N. attribuito in sede di "prima notificazione".
Qualora si dovesse sospendere la notificazione, si dovrà usare, per il suo completamento, l'ID temporaneo che di volta in volta verrà comunicato dal Garante.
[4] I modelli di denunzia sono scaricabili direttamente dal sito del Garante per la privacy http://www.garanteprivacy.it., oppure reperibili presso gli uffici postali dislocati sul territorio nazionale.
[5] “Convenzione per la protezione delle persone in relazione all’elaborazione automatica dei dati a carattere personale”.
[6] La nostra legge 675/96 costituisce, nel panorama legislativo, una normativa di seconda generazione, dove i dati sono liberamente trattabili da chiunque salvo l’obbligo di darne comunicazione ad un’autorità. Si ricorda che per normative di prima generazione si intendono quelle maggiormente restrittive, dove la regola generale è il divieto di trattare dati personali, a meno che non esista una specifica autorizzazione di legge o di regolamento. Così anche E. GIANNANTONIO, Manuale di diritto dell’Informatica, Cedam, 1997, p. 31.
[7] Pubblicato sulla Gazzetta ufficiale n. 13 del 16 gennaio 2002.
[8] Per un’analisi dettagliata della depenalizzazione dell’illecito correlato alla violazione delle norme sulla notificazione sia rinvia al cap. “Sanzioni amministrative” di questo volume.
[9] In particolare è stato rilevato il carattere di norma generale dell’art. 7 della L. 675/96, che si pone, rispetto alle successive modificazioni, in relazione di genus ad speciem. Così S. SICA, La riservatezza nelle telecomunicazioni. l’identificazione del chiamante nell’esperienza inglese e nella prospettiva comunitaria e italiana, Dir. Inf., 1997, p. 219.
[10] Giova ricordare che lo strumento del Registro assume una particolare valenza per l’esercizio dei diritti dell’interessato di cui all’art. 13. Infatti l’interessato non trova all’interno del Registro i propri dati, bensì le coordinate utili ad individuare la banca dati rispetto alla quale va esercitato il diritto di accesso.
[11]
Pronuncia del Garante riportata nella Newsletter
15 - 21 novembre 1999, reperibile al sito www.garanteprivacy.it.
[12]
Riportato nella Newsletter 6 - 12
marzo 2000 reperibile all’url www.garanteprivacy.it.
[13] Riportato nella Newsletter 6 - 12 marzo 2000 reperibile all’url www.garanteprivacy.it. Va ricordato che il Garante ha modificato il modello di notificazione per evitare che i soggetti che hanno adottato le misure minime previste dal Dpr n. 318/99 debbano a loro volta modificare le precedenti notifiche presentate all’autorità.