Brevi considerazioni in merito al provvedimento del Garante per la protezione dei dati personali relativo ai casi da sottrarre all'obbligo di notificazione
Il Garante per la protezione dei dati personali è intervenuto con
propria deliberazione n. 1 del 31 marzo 2004 [http://www.garanteprivacy.it/garante/doc.jsp?ID=852561]
al fine di sottrarre all'obbligo di notificazione alcuni specifici
trattamenti di dati personali.
Come noto, nel nuovo Codice
per la protezione dei dati personali (nel seguito: il "Codice") il
sistema della notificazione è radicalmente cambiato rispetto al regime
introdotto dalla legge 31 dicembre 1996, n. 675. Mentre in precedenza la
notificazione era obbligatoria per tutti i titolari di trattamento,
salvo alcune ridotte eccezioni di esonero (art. 7, comma 5-ter), essa
risulta ora obbligatoria sono in specifiche ipotesi di trattamento di
dati personali.
In particolare, l'art. 37, comma 1, del
Codice individua alcuni trattamenti a fronte dei quali sorge l'obbligo
di notificazione secondo le nuove modalità telematiche messe a punto
dall'Ufficio del Garante. Il comma 2 dello stesso articolo, tuttavia,
attribuisce al Garante (i) il potere di individuare ulteriori
trattamenti da assoggettare all'obbligo di notificazione, in ragione del
rischio di pregiudizio che potrebbero arrecare agli interessanti; così
come, (ii) il potere di sottrarre dall'obbligo di notificazione
trattamenti indicati nel comma 1 qualora ritenuti "non suscettibili
di recare pregiudizio"
agli interessati.
Con il provvedimento in commento il Garante ha,
quindi, deciso di avvalersi del potere concessogli dal legislatore, per
il momento unicamente nel senso di ridurre le fattispecie in cui la
notificazione è obbligatoria. In via incidentale sembra interessante
notare, da un punto di vista costituzionale, come l'art. 37, comma 2,
contenga una specie di delega "in bianco" ad un organo non
costituzionale, un'autorità indipendente, al fine di intervenire
nell'ordinamento positivo, ampliando e riducendo di fatto, nemmeno
temporaneamente, la portata di disposizioni normative di rango primario.
Su quest'aspetto sarebbe interessante condurre un approfondimento:
tuttavia, ragioni di brevità e la pressione degli adempimenti in
scadenza impongono di rinviare al futuro ulteriori considerazioni.
Nonostante il provvedimento del Garante, che salutiamo naturalmente con favore, alcuni dubbi interpretativi rimangono in merito a talune fattispecie di trattamento per le quali molti titolari si domandano, in vista della prossima scadenza del 30 aprile, se la notificazione sia dovuta o meno.
Avvantaggiandomi dell'esperienza degli interventi
che mi è capitato di effettuare in questi mesi, esaminerò nel seguito i
principali casi per i quali qualche dubbio rimane.
A fine dello sviluppo delle argomentazioni, particolare attenzione verrà rivolta anche al contenuto delle tabelle (nel seguito: le "Tabelle") che il Garante ha predisposto al fine della compilazione della notificazione [cfr. https://web.garanteprivacy.it/rgt/Tabelle_della_procedura_di_notificazione.pdf]. È opinione di chi scrive che esse contengano indicazioni di cui non si possa non tenere conto al fine di determinare il contenuto dei precetti stabiliti dall'art. 37, comma 1, del Codice.
Trattamento di
dati che indicano la posizione geografica di persone od oggetti mediante
una rete di comunicazione elettronica
Tra i trattamenti individuati nella lettera a), preso atto delle esclusioni operate, uno in particolare desta notevoli dubbi interpretativi e riguarda, potenzialmente, un numero molto elevato di soggetti.
Sin dalla
pubblicazione del Codice ci si è domandato se, nel trattamento in
questione, rientrassero i cd. "sistemi di controllo accessi e/o
rilevazione presenze"
dei dipendenti, molto spesso basati sull'utilizzo di tessere magnetiche (badge)
e se, pertanto, l'impiego di tali sistemi determinasse l'obbligo di
notificazione quanto ai trattamenti indotti.
L'interesse
appare giustificato tenuto conto della vastità dei soggetti che
coinvolge in rapporto all'obiettivo dichiarato di drastica riduzione dei
soggetti onerati dall'obbligo di notificazione.
Analizzando il contenuto delle Tabelle, in particolare tenuto conto che
* quanto alle "categorie di dati", esse individuano i "dati
idonei a rilevare la posizione di persone";
* quanto alle "categorie
di interessati cui si riferiscono i dati", esse individuano "lavoratori
e collaboratori";
* quanto alle "finalità",
esse individuano la "gestione del personale";
* quanto alle
"modalità", esse individuano la "rilevazione sistematica di dati
senza particolari elaborazioni" così come la "cancellazione di dati
immediata o nel breve periodo (massimo alcuni giorni)";
prudenza imporrebbe di considerare come rientrante nella fattispecie in
oggetto, e quindi soggetto a notificazione, un trattamento di dati
correlato all'utilizzo di un
"sistema di controllo accessi e/o rilevazione presenze" dei
dipendenti, a condizione tuttavia che il sistema tratti i dati mediante
una rete di comunicazioni elettronica.
Proprio in relazione a
tale espressione sorge il dubbio maggiore. Se, cioè, vada considerata
come rilevante anche una semplice rete interna, che metta in
collegamento i vari dispositivi posti in corrispondenza delle entrate (o
anche di una sola entrata) con il sistema che elabora/memorizza i dati
delle presenze e degli accessi. Ovvero, se a fini dell'obbligo della
notificazione sia richiesto un quid in più.
A mio
giudizio dovrebbe risultare necessario un qualcosa in più. Vale a dire
un vero e proprio "sistema di interconnessione" tra i sistemi di
rilevazione del passaggio o della presenza dell'interessato (lavoratore
e collaboratore) ed il sistema di elaborazione/memorizzazione dei dati,
i quali dovrebbero inoltre insistere su luoghi fisicamente diversi tra
loro. Ulteriore aspetto rilevante, mi sembra, dovrebbe essere la
presenza di più sedi di lavoro ubicate su più siti, geograficamente
distinti tra loro.
Ancorché indicativo della posizione fisica
di una persona, la rilevazione presenza di un lavoratore presso un
titolare che operi attraverso un sito unitario geograficamente non mi
sembrerebbe rilevante ai fini della tutela delle libertà individuali
dell'interessato. E' evidente che un lavoratore deve recarsi (giornalmente)
presso il luogo di lavoro, ed anzi solo in determinate e giustificate
ipotesi è consentito che non si trovi in quel luogo.
Ben diverso appare, a giudizio di chi scrive, il caso di imprese ubicate su più siti operativi, distinti geograficamente. In questo caso mi sembra che la notificazione sia dovuta, sempre che venga impiegato un sistema di "rilevazione accessi" o "controllo presenze" collegato ad un sistema centrale attraverso una rete di comunicazione elettronica. Un dubbio potrebbe forse venire per il caso in cui tutti i siti operativi di un titolare siano ubicati nello stesso comune. In tal caso, tuttavia, ragioni di prudenza, consiglierebbero di procedere comunque alla notifica.
Trattamento di dati idonei a rivelare lo stato di
salute e la vita sessuale, trattati a fini di procreazione assistita,
prestazione di servizi sanitari per via telematica relativi a banche di
dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di
malattie mentali, infettive e diffusive, sieropositività, trapianto di
organi e tessuti e monitoraggio della spesa sanitaria
L'intervento del Garante ha sottratto all'obbligo di notificazione
alcuni trattamenti eseguiti da esercenti le professioni sanitarie.
Tuttavia, anche il provvedimento del Garante "insiste" nell'uso di
espressioni confuse, con predicati verbali e complementi di argomento
impliciti.
Senza peccare d'esterofilia, dove l'uso della
"tabulazione" nei documenti a carattere legale è "imposto" a fini di
chiarezza, nell'ipotesi in commento una maggiore chiarezza sarebbe
auspicabile.
Se dal un lato appare indubbio che l'ipotesi in commento
riguardi il "trattamento di dati idonei a rivelare lo stato di salute
e la vita sessuale, trattati a fini di procreazione assistita", i
problemi intepretativi nascono a mano a mano che ci si addentra
nell'espressione utilizzata.
Ci si domanda, infatti, se "trattamento
di dati idonei a rivelare lo stato di salute e la vita sessuale,
trattati a fini di" non debba essere considerata espressione comune,
che regge tutte le altre che seguono.
In tal caso,
sembrerebbe forse sensato individuare l'espressione "trattamento di
dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a
fini di prestazione di servizi sanitari per via telematica relativi a
banche di dati o alla fornitura di beni", ipotesi più circoscritta
rispetto alla mera "prestazione di servizi sanitari per via
telematica relativi a banche di dati o alla fornitura di beni", in
entrambi i casi comunque oscura e di difficile decifrazione, anche se il
riferimento ai dati idonei a rivelare la "vita sessuale"
appare strampalato.
Stesse considerazioni valgono per le
espressioni che seguono. Vale a dire se debbano essere considerate
isolatamente le espressioni
"indagini epidemiologiche", "rilevazione di malattie mentali,
infettive e diffusive, sieropositività", "trapianto di organi e tessuti"
e "monitoraggio della spesa sanitaria", ovvero se anch'esse debbano
essere raccordate alla radice comune.
Dato che non viene usata una
formula disgiuntiva, bensì cumulativa, "dati idonei a rivelare lo
stato di salute e la vita sessuale", verrebbe da pensare che:
* avrebbe, forse, qualche senso compiuto il risultato combinato
"trattamento di dati idonei a rivelare lo stato di salute e la vita
sessuale, trattati a fini di indagini epidemiologiche";
* poco
senso avrebbe l'espressione "trattamento di dati idonei a rivelare lo
stato di salute e la vita sessuale, trattati a fini di rilevazione di
malattie mentali, infettive e diffusive, sieropositività" ;
*
ancor meno senso avrebbe l'espressione "trattamento di dati idonei a
rivelare lo stato di salute e la vita sessuale, trattati a fini di
trapianto di organi e tessuti", per non parlare del "trattamento
di dati idonei a rivelare lo stato di salute e la vita sessuale,
trattati a fini di monitoraggio della spesa sanitaria"
Tutto sommato risulta preferibile concludere, anche se con dubbi circa la possibile arbitrarietà di una simile operazione, che si tratti di ipotesi distinte tra loro, non accomunate dall'ipotizzata radice comune e che la notificazione risulta dovuta qualora il trattamento riguardi:
* dati idonei a rivelare lo stato di salute e la vita sessuale, trattati
a fini di procreazione assistita;
* prestazione di servizi sanitari per via telematica relativi a banche
di dati o alla fornitura di beni;
* indagini epidemiologiche;
*
rilevazione di malattie mentali, infettive e diffusive, sieropositività;
* trapianto di organi e tessuti; e,
* monitoraggio della spesa
sanitaria.
Tutto questo anche se nel provvedimento del Garante
tale radice comune viene in qualche modo indirettamente suggerita sub
lettera A, punto 2).
Da notare che l'espressione utilizzata nella lettera b) appare particolarmente infelice, laddove si consideri che in talune ipotesi vengono in rilievo dati sensibili, sanitari o relativi alla vita sessuale in relazione a determinate finalità o anche modalità di trattamento, mentre in altre ipotesi, non vengono in rilievo particolari finalità e/o modalità, dal che si intuisce che la "pericolosità" del trattamento è insita nella natura dei dati.
Trattamento
effettuato con l'ausilio di strumenti elettronici volti a definire il
profilo o la personalità dell'interessato, o ad analizzare abitudini o
scelte di consumo, ovvero a monitorare l'utilizzo di servizi di
comunicazione elettronica con l'esclusione dei trattamenti tecnicamente
indispensabili per fornire i servizi medesimi agli utenti
Il provvedimento del Garante ha sottotratto all'obbligo di notificazione
due trattamenti molto diffusi, che avrebbero interessato moltissimi
soggetti: (i) definizione di profili professionali per finalità di
occupazione e (ii) definizione di profili di investitori da parte di
intermediari finanziari in esecuzione di specifici regolamenti (Consob).
Ciò non di meno, potrebbe risultare ancora ampio il novero delle ipotesi
che rientrano nella lettera d), tanto che un numero rilevante d'imprese
si domanda se dovrà procedere o meno alla notificazione, giusto
l'obiettivo (dichiarato dal legislatore) di ridurre al minimo tale onere.
Osservato preliminarmente che il Codice non fornisce una definizione di
"profilo dell'interessato" né di "analisi delle abitudini o
scelte di consumo", e che quindi risulta più difficoltoso
interpretare la disposizione, anche in questo caso conviene valutare il
contenuto delle Tabelle per ottenere qualche elemento di chiarimento.
Ebbene, considerato che:
* quanto alle "categorie di dati",
esse individuano un insieme ampio, tra cui "dati relativi allo
svolgimento di attività economiche e informazioni commerciali (es.
fatturato, bilanci, aspetti economici, finanziari, organizzativi,
produttivi, industriali, commerciali, imprenditoriali)";
* quanto alle "categorie di interessati cui si riferiscono i dati",
esse individuano un novero molto ampio di soggetti interessati che
comprende, tra l'altro, "persone giuridiche, fisiche", "consumatori",
"clienti o utenti;
* quanto alle "finalità", esse individuano
con ipotesi molto ampia "attività commerciale", "creazione di profili
professionali relativi a clienti o consumatori", "analisi delle
abitudini o scelte di consumo", "fornitura di beni e servizi";
* quanto alle "modalità", esse individuano la "definizione di
profili dell'interessato" solo come aggiuntiva ed ulteriore rispetto
a "raccolta" e soprattutto "organizzazione in banche dati in
forma prevalentemente automatizzata" o addirittura "organizzazione
in banche dati in forma prevalentemente non automatizzata".
A
prima vista sembrerebbe che anche la mera attività di raccolta ed
organizzazione di informazioni commerciali relative a propri clienti e
fornitori rientrerebbe nella fattispecie in oggetto, e quindi sarebbe
soggetta a notificazione, a patto che sia effettuata mediante "l'ausilio
di strumenti elettronici". Tale conclusione appare tuttavia
eccessiva.
Potrebbe forse sorgere il dubbio che l'espressione
della lettera d), dell'art. 37 del Codice, "dati trattati con
l'ausilio di strumenti elettronici volti a definire il profilo o la
personalità dell'interessato, o ad analizzare abitudini o scelte di
consumo" implichi la presenza di un quid in più del mero trattamento
elettronico, della mera memorizzazione delle informazioni commerciali in
archivi elettronici (files), anche tra loro non coordinati (di fatto
slegati tra loro), e che sia, invece, richiesta una vera e propria "applicazione"
informatica che fornisca come output il "profilo dell'interessato"
o l'analisi delle "abitudini e scelte di consumo". Tale quid
aggiuntivo richiesto potrebbe essere ravvisato qualora si ritenesse che
l'espressione " volti a definire il profilo o la personalità
dell'interessato, o ad analizzare abitudini o scelte di consumo" sia
riferita non ai "dati", bensì agli "strumenti elettronici".
Accedendo a tale interpretazione, è evidente, si eviterebbe la
notificazione per un numero molto ampio di soggetti (imprese) i quali
trattano sì dati di soggetti (clienti, fornitori), tuttavia
semplicemente raccogliendo e memorizzando informazioni, senza l'ausilio
di un vero e proprio sistema automatizzato in grado di produrre profili
degli interessati.
Ed in effetti, tale interpretazione
potrebbe trovare conferma se si considerano attentamente le espressioni
utilizzate nel provvedimento del Garante ai fini d'individuazione dei
trattamenti sottratti all'obbligo di notificazione. Il Garante, infatti,
alle lettere a) e b) del punto 4) stabilisce l'esonero dalla
notificazione per i "trattamenti di dati personali che non siano
fondati unicamente su un trattamento automatizzato volto a definire
profili professionali, effettuati per esclusive finalità di occupazione
o di gestione del rapporto di lavoro …" ovvero per i
"trattamenti di dati personali che non siano fondati unicamente su un
trattamento automatizzato volto a definire il profilo di un investitore
…".
Da un lato, sembrerebbe subito da escludere che il
Garante abbia inteso riferirsi, al fine dell'esonero, anche alla
contemporanea presenza di trattamenti "senza l'ausilio di strumenti
elettronici", dato che la lettera d), dell'art 37 del Codice, è
riferita esclusivamente a trattamenti effettuati con l'ausilio di
strumenti elettronici, e quindi non avrebbe molto senso una simile
ipotesi.
D'altro lato, è indubbio che il Garante ha utilizzato l'espressione
"trattamenti automatizzati" mentre la lettera d), dell'art. 37 del
Codice, utilizza l'espressione "dati trattati con l'ausilio di
strumenti elettronici". Dato che vi è una differenza, e considerato
che l'esonero non sarebbe applicabile nel caso in cui il trattamento
riguardasse o
"categorie di interessati" o "finalità" differenti, o
eccedenti, rispetto a quelle elencate, a questo punto sembrerebbe
corretto interpretare l'espressione "che non siano fondati unicamente
su un trattamento automatizzato"
nel senso di prevedere l'obbligo di notificazione per i soli casi in cui
sia operante un vero e proprio sistema automatizzato che produce profili
di individui. Diversamente, sarebbe difficile trovare un senso compiuto
all'espressione utilizzata a fini d'esonero.
Ed in effetti, ad
ulteriore conferma, occorre notare come anche l'art. 14 del Codice, che
disciplina la "definizione di profili e della personalità
dell'interessato" parla di "trattamento automatizzato di dati
personali volto a definire il profilo o la personalità dell'interessato".
Ora, se è vero che l'esonero è previsto solo per specifiche "categorie
di interessati" e "finalità di trattamento" (quelle indicate alle
lettere a) e b) del punto 4) del provvedimento del Garante), nonostante
la presenza di un "trattamento automatizzato",
allora si può concludere, per logica conseguenza, che (i) per il caso di
trattamenti che dovessero riguardare, o comprendere anche, altre "categorie
di interessati" e/o "finalità di trattamento" (ovviamente)
l'esonero non vale; ma anche, argomentando a contrariis, che (ii) in
assenza di un vero e proprio "trattamento automatizzato" (vale a
dire di un quid elaborativo in più rispetto al mero trattamento con
l'ausilio di strumenti elettronici), l'obbligo di notificazione non è
dovuto, dato che, in via interpretativa, non si rientrerebbe nella
fattispecie prevista dalla lettera d) dell'art. 37 del Codice.
Se queste considerazioni sono valide, ne consegue che in tutti i casi in cui vengono raccolti e trattati dati commerciali, ad esempio di clienti e fornitori, e ciò mediante l'ausilio di strumenti elettronici, senza tuttavia la presenza di un vero e proprio trattamento automatizzato per mezzo di apposito sistema di generazione profili, allora non sarà dovuta la notificazione ai sensi della lettera d).
Naturalmente, l'obbligo di notificazione sarà dovuto, viceversa, per il caso in cui il titolare si avvalga di un sistema automatizzato (quid pluris) per la generazione dei profili (non essendo operante, al di fuori delle ipotesi descritte l'esonero concesso dal Garante).
Trattamento di dati
registrati in apposite banche di dati gestite con strumenti elettronici
e relative al rischio sulla solvibilità economica, alla situazione
patrimoniale, al corretto adempimento di obbligazioni, a comportamenti
illeciti o fraudolenti
Fortunatamente il provvedimento del
Garante ha sottratto all'obbligo della notificazione ben sei fattispecie
di trattamento di dati personali rientranti nelle ipotesi in commento e,
tra queste, anche quella che maggiormente preoccupava le imprese e gli
imprenditori. In effetti, analizzando il contenuto delle Tabelle
sembrava ineluttabile concludere per l'obbligo di notificazione per
qualunque soggetto che avesse anche solo strumenti minimi di controllo
delle fatture emesse e dei crediti di fornitura non ancora estinti.
La formulazione adottata da Garante appare ampia e rassicurante, anche
se il testo letterale appare non del tutto logico. Dispone, infatti, che
non rilevano, e quindi non sono soggetti a notificazione, "i
trattamenti di dati personali registrati in banche di dati utilizzate in
rapporti con l'interessato di fornitura di beni, prestazioni o servizi,
o per adempimenti contabili o fiscali, anche in caso di inadempimenti
contrattuali, azioni di recupero del credito e contenzioso con
l'interessato".
La definizione non specifica la natura del
rapporto, tuttavia concordo che appare superfluo dato che non potrebbe
altro trattarsi che di rapporti di natura contrattuale o derivanti da
atto unilaterale. Piuttosto, rilevo che viene effettuata una distinzione
tra rapporti di fornitura e adempimenti contabili o fiscali. Ciò
legittima l'interpretazione che il beneficio si estenda anche a chi
effettua trattamenti per fini contabili o fiscali senza avere rapporto
con l'interessano. Anche ciò appare logico e sensato.
Qualche dubbio
desta la parte finale "anche in caso di inadempimenti contrattuali,
azioni di recupero del credito e contenzioso con l'interessato".
Dato che è stata individuata l'ipotesi principale del rapporto con l'interessato per la fornitura di beni, prestazioni o servizi (tripartizione singolare, giacché di solito cisi riferisce a "fornitura di beni" o "prestazione di servizi" ed è difficile immaginare la "fornitura di prestazioni"), ipotesi che include ogni possibile ulteriore attività conseguente o derivata, non si comprende il senso della specificazione estensiva. L'uso della parola "anche" esclude categoricamente che le ipotesi in questione possano essere considerate autonomamente. Anche perché, in tale ipotesi, sarebbe, ad esempio, esonerata l'attività (eventuale e susseguente) di vero e proprio recupero del credito, o contenziosa, mentre "scatterebbe" paradossalmente l'obbligo di notifica alla preventiva e naturale attività di mero controllo delle poste in scadenza, secondo la normale prassi commerciale. Preferisco concludere che si tratta d'espressione pleonastica ed irrilevante, ed osservo che sarebbe preferibile, in testi che modificano la portata di norme primarie, maggiore chiarezza.
Milano, 11 aprile 2004
Luigi Neirotti
Avvocato in Milano
Partner Studio Legale Tributario - EYLaw
Responsabile del
dipartimento di diritto dell'informatica