Brevi considerazioni
in merito al provvedimento del Garante per la protezione dei dati personali relativo
ai casi da sottrarre all'obbligo di notificazioneIl Garante per la protezione
dei dati personali è intervenuto con propria deliberazione n. 1 del 31
marzo 2004 [http://www.garanteprivacy.it/garante/doc.jsp?ID=852561]
al fine di sottrarre all'obbligo di notificazione alcuni specifici trattamenti
di dati personali.
Come noto, nel nuovo Codice per la protezione dei
dati personali (nel seguito: il "Codice") il sistema della notificazione
è radicalmente cambiato rispetto al regime introdotto dalla legge 31 dicembre
1996, n. 675. Mentre in precedenza la notificazione era obbligatoria per tutti
i titolari di trattamento, salvo alcune ridotte eccezioni di esonero (art. 7,
comma 5-ter), essa risulta ora obbligatoria sono in specifiche ipotesi di trattamento
di dati personali.
In particolare, l'art. 37, comma 1, del Codice individua
alcuni trattamenti a fronte dei quali sorge l'obbligo di notificazione secondo
le nuove modalità telematiche messe a punto dall'Ufficio del Garante. Il
comma 2 dello stesso articolo, tuttavia, attribuisce al Garante (i) il potere
di individuare ulteriori trattamenti da assoggettare all'obbligo di notificazione,
in ragione del rischio di pregiudizio che potrebbero arrecare agli interessanti;
così come, (ii) il potere di sottrarre dall'obbligo di notificazione trattamenti
indicati nel comma 1 qualora ritenuti "non suscettibili di recare pregiudizio"
agli interessati.
Con il provvedimento in commento il Garante ha,
quindi, deciso di avvalersi del potere concessogli dal legislatore, per il momento
unicamente nel senso di ridurre le fattispecie in cui la notificazione è
obbligatoria. In via incidentale sembra interessante notare, da un punto di vista
costituzionale, come l'art. 37, comma 2, contenga una specie di delega "in
bianco" ad un organo non costituzionale, un'autorità indipendente,
al fine di intervenire nell'ordinamento positivo, ampliando e riducendo di fatto,
nemmeno temporaneamente, la portata di disposizioni normative di rango primario.
Su quest'aspetto sarebbe interessante condurre un approfondimento: tuttavia, ragioni
di brevità e la pressione degli adempimenti in scadenza impongono di rinviare
al futuro ulteriori considerazioni.
Nonostante il provvedimento del
Garante, che salutiamo naturalmente con favore, alcuni dubbi interpretativi rimangono
in merito a talune fattispecie di trattamento per le quali molti titolari si domandano,
in vista della prossima scadenza del 30 aprile, se la notificazione sia dovuta
o meno.
Avvantaggiandomi dell'esperienza degli interventi che mi è
capitato di effettuare in questi mesi, esaminerò nel seguito i principali
casi per i quali qualche dubbio rimane.
A fine dello sviluppo delle
argomentazioni, particolare attenzione verrà rivolta anche al contenuto
delle tabelle (nel seguito: le "Tabelle") che il Garante ha predisposto
al fine della compilazione della notificazione [cfr.
https://web.garanteprivacy.it/rgt/Tabelle_della_procedura_di_notificazione.pdf].
È opinione di chi scrive che esse contengano indicazioni di cui non si
possa non tenere conto al fine di determinare il contenuto dei precetti stabiliti
dall'art. 37, comma 1, del Codice.
Trattamento di dati che indicano la
posizione geografica di persone od oggetti mediante una rete di comunicazione
elettronica
Tra i trattamenti individuati nella lettera a), preso
atto delle esclusioni operate, uno in particolare desta notevoli dubbi interpretativi
e riguarda, potenzialmente, un numero molto elevato di soggetti.
Sin dalla
pubblicazione del Codice ci si è domandato se, nel trattamento in questione,
rientrassero i cd. "sistemi di controllo accessi e/o rilevazione presenze"
dei dipendenti, molto spesso basati sull'utilizzo di tessere magnetiche (badge)
e se, pertanto, l'impiego di tali sistemi determinasse l'obbligo di notificazione
quanto ai trattamenti indotti.
L'interesse appare giustificato tenuto
conto della vastità dei soggetti che coinvolge in rapporto all'obiettivo
dichiarato di drastica riduzione dei soggetti onerati dall'obbligo di notificazione.
Analizzando il contenuto delle Tabelle, in particolare tenuto conto che
*
quanto alle "categorie di dati", esse individuano i "dati
idonei a rilevare la posizione di persone";
* quanto alle "categorie
di interessati cui si riferiscono i dati", esse individuano "lavoratori
e collaboratori";
* quanto alle "finalità",
esse individuano la "gestione del personale";
* quanto alle
"modalità", esse individuano la "rilevazione sistematica
di dati senza particolari elaborazioni" così come la "cancellazione
di dati immediata o nel breve periodo (massimo alcuni giorni)";
prudenza
imporrebbe di considerare come rientrante nella fattispecie in oggetto, e quindi
soggetto a notificazione, un trattamento di dati correlato all'utilizzo di un
"sistema di controllo accessi e/o rilevazione presenze" dei dipendenti,
a condizione tuttavia che il sistema tratti i dati mediante una rete di comunicazioni
elettronica.
Proprio in relazione a tale espressione sorge il dubbio
maggiore. Se, cioè, vada considerata come rilevante anche una semplice
rete interna, che metta in collegamento i vari dispositivi posti in corrispondenza
delle entrate (o anche di una sola entrata) con il sistema che elabora/memorizza
i dati delle presenze e degli accessi. Ovvero, se a fini dell'obbligo della notificazione
sia richiesto un quid in più.
A mio giudizio dovrebbe
risultare necessario un qualcosa in più. Vale a dire un vero e proprio
"sistema di interconnessione" tra i sistemi di rilevazione del passaggio
o della presenza dell'interessato (lavoratore e collaboratore) ed il sistema di
elaborazione/memorizzazione dei dati, i quali dovrebbero inoltre insistere su
luoghi fisicamente diversi tra loro. Ulteriore aspetto rilevante, mi sembra, dovrebbe
essere la presenza di più sedi di lavoro ubicate su più siti, geograficamente
distinti tra loro.
Ancorché indicativo della posizione fisica
di una persona, la rilevazione presenza di un lavoratore presso un titolare che
operi attraverso un sito unitario geograficamente non mi sembrerebbe rilevante
ai fini della tutela delle libertà individuali dell'interessato. E' evidente
che un lavoratore deve recarsi (giornalmente) presso il luogo di lavoro, ed anzi
solo in determinate e giustificate ipotesi è consentito che non si trovi
in quel luogo.
Ben diverso appare, a giudizio di chi scrive, il caso
di imprese ubicate su più siti operativi, distinti geograficamente. In
questo caso mi sembra che la notificazione sia dovuta, sempre che venga impiegato
un sistema di "rilevazione accessi" o "controllo presenze"
collegato ad un sistema centrale attraverso una rete di comunicazione elettronica.
Un dubbio potrebbe forse venire per il caso in cui tutti i siti operativi di un
titolare siano ubicati nello stesso comune. In tal caso, tuttavia, ragioni di
prudenza, consiglierebbero di procedere comunque alla notifica.
Trattamento
di dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini
di procreazione assistita, prestazione di servizi sanitari per via telematica
relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche,
rilevazione di malattie mentali, infettive e diffusive, sieropositività,
trapianto di organi e tessuti e monitoraggio della spesa sanitaria
L'intervento
del Garante ha sottratto all'obbligo di notificazione alcuni trattamenti eseguiti
da esercenti le professioni sanitarie. Tuttavia, anche il provvedimento del Garante
"insiste" nell'uso di espressioni confuse, con predicati verbali e complementi
di argomento impliciti.
Senza peccare d'esterofilia, dove l'uso della
"tabulazione" nei documenti a carattere legale è "imposto"
a fini di chiarezza, nell'ipotesi in commento una maggiore chiarezza sarebbe auspicabile.
Se
dal un lato appare indubbio che l'ipotesi in commento riguardi il "trattamento
di dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini
di procreazione assistita", i problemi intepretativi nascono a mano a
mano che ci si addentra nell'espressione utilizzata.
Ci si domanda,
infatti, se "trattamento di dati idonei a rivelare lo stato di salute
e la vita sessuale, trattati a fini di" non debba essere considerata
espressione comune, che regge tutte le altre che seguono.
In tal caso,
sembrerebbe forse sensato individuare l'espressione "trattamento di dati
idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di prestazione
di servizi sanitari per via telematica relativi a banche di dati o alla fornitura
di beni", ipotesi più circoscritta rispetto alla mera "prestazione
di servizi sanitari per via telematica relativi a banche di dati o alla fornitura
di beni", in entrambi i casi comunque oscura e di difficile decifrazione,
anche se il riferimento ai dati idonei a rivelare la "vita sessuale"
appare strampalato.
Stesse considerazioni valgono per le espressioni
che seguono. Vale a dire se debbano essere considerate isolatamente le espressioni
"indagini epidemiologiche", "rilevazione di malattie
mentali, infettive e diffusive, sieropositività", "trapianto
di organi e tessuti" e "monitoraggio della spesa sanitaria",
ovvero se anch'esse debbano essere raccordate alla radice comune.
Dato che
non viene usata una formula disgiuntiva, bensì cumulativa, "dati
idonei a rivelare lo stato di salute e la vita sessuale", verrebbe da
pensare che:
* avrebbe, forse, qualche senso compiuto il risultato combinato
"trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale,
trattati a fini di indagini epidemiologiche";
* poco senso avrebbe
l'espressione "trattamento di dati idonei a rivelare lo stato di salute
e la vita sessuale, trattati a fini di rilevazione di malattie mentali, infettive
e diffusive, sieropositività" ;
* ancor meno senso avrebbe
l'espressione "trattamento di dati idonei a rivelare lo stato di salute
e la vita sessuale, trattati a fini di trapianto di organi e tessuti", per
non parlare del "trattamento di dati idonei a rivelare lo stato di salute
e la vita sessuale, trattati a fini di monitoraggio della spesa sanitaria"
Tutto
sommato risulta preferibile concludere, anche se con dubbi circa la possibile
arbitrarietà di una simile operazione, che si tratti di ipotesi distinte
tra loro, non accomunate dall'ipotizzata radice comune e che la notificazione
risulta dovuta qualora il trattamento riguardi:
* dati idonei a rivelare
lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita;
* prestazione di servizi sanitari per via telematica relativi a banche di dati
o alla fornitura di beni;
* indagini epidemiologiche;
* rilevazione di
malattie mentali, infettive e diffusive, sieropositività;
* trapianto
di organi e tessuti; e,
* monitoraggio della spesa sanitaria.
Tutto
questo anche se nel provvedimento del Garante tale radice comune viene in qualche
modo indirettamente suggerita sub lettera A, punto 2).
Da notare che
l'espressione utilizzata nella lettera b) appare particolarmente infelice, laddove
si consideri che in talune ipotesi vengono in rilievo dati sensibili, sanitari
o relativi alla vita sessuale in relazione a determinate finalità o anche
modalità di trattamento, mentre in altre ipotesi, non vengono in rilievo
particolari finalità e/o modalità, dal che si intuisce che la "pericolosità"
del trattamento è insita nella natura dei dati.
Trattamento effettuato
con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità
dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare
l'utilizzo di servizi di comunicazione elettronica con l'esclusione dei trattamenti
tecnicamente indispensabili per fornire i servizi medesimi agli utenti
Il
provvedimento del Garante ha sottotratto all'obbligo di notificazione due trattamenti
molto diffusi, che avrebbero interessato moltissimi soggetti: (i) definizione
di profili professionali per finalità di occupazione e (ii) definizione
di profili di investitori da parte di intermediari finanziari in esecuzione di
specifici regolamenti (Consob). Ciò non di meno, potrebbe risultare ancora
ampio il novero delle ipotesi che rientrano nella lettera d), tanto che un numero
rilevante d'imprese si domanda se dovrà procedere o meno alla notificazione,
giusto l'obiettivo (dichiarato dal legislatore) di ridurre al minimo tale onere.
Osservato
preliminarmente che il Codice non fornisce una definizione di "profilo
dell'interessato" né di "analisi delle abitudini o scelte
di consumo", e che quindi risulta più difficoltoso interpretare
la disposizione, anche in questo caso conviene valutare il contenuto delle Tabelle
per ottenere qualche elemento di chiarimento.
Ebbene, considerato che:
*
quanto alle "categorie di dati", esse individuano un insieme
ampio, tra cui "dati relativi allo svolgimento di attività economiche
e informazioni commerciali (es. fatturato, bilanci, aspetti economici, finanziari,
organizzativi, produttivi, industriali, commerciali, imprenditoriali)";
* quanto alle "categorie di interessati cui si riferiscono i dati",
esse individuano un novero molto ampio di soggetti interessati che comprende,
tra l'altro, "persone giuridiche, fisiche", "consumatori",
"clienti o utenti;
* quanto alle "finalità", esse
individuano con ipotesi molto ampia "attività commerciale", "creazione
di profili professionali relativi a clienti o consumatori", "analisi
delle abitudini o scelte di consumo", "fornitura di beni e servizi";
* quanto alle "modalità", esse individuano la "definizione
di profili dell'interessato" solo come aggiuntiva ed ulteriore rispetto
a "raccolta" e soprattutto "organizzazione in banche
dati in forma prevalentemente automatizzata" o addirittura "organizzazione
in banche dati in forma prevalentemente non automatizzata".
A prima
vista sembrerebbe che anche la mera attività di raccolta ed organizzazione
di informazioni commerciali relative a propri clienti e fornitori rientrerebbe
nella fattispecie in oggetto, e quindi sarebbe soggetta a notificazione, a patto
che sia effettuata mediante "l'ausilio di strumenti elettronici".
Tale conclusione appare tuttavia eccessiva.
Potrebbe forse sorgere il
dubbio che l'espressione della lettera d), dell'art. 37 del Codice, "dati
trattati con l'ausilio di strumenti elettronici volti a definire il profilo o
la personalità dell'interessato, o ad analizzare abitudini o scelte di
consumo" implichi la presenza di un quid in più del mero trattamento
elettronico, della mera memorizzazione delle informazioni commerciali in archivi
elettronici (files), anche tra loro non coordinati (di fatto slegati tra loro),
e che sia, invece, richiesta una vera e propria "applicazione" informatica
che fornisca come output il "profilo dell'interessato" o l'analisi
delle "abitudini e scelte di consumo". Tale quid aggiuntivo richiesto
potrebbe essere ravvisato qualora si ritenesse che l'espressione " volti
a definire il profilo o la personalità dell'interessato, o ad analizzare
abitudini o scelte di consumo" sia riferita non ai "dati",
bensì agli "strumenti elettronici".
Accedendo
a tale interpretazione, è evidente, si eviterebbe la notificazione per
un numero molto ampio di soggetti (imprese) i quali trattano sì dati di
soggetti (clienti, fornitori), tuttavia semplicemente raccogliendo e memorizzando
informazioni, senza l'ausilio di un vero e proprio sistema automatizzato in grado
di produrre profili degli interessati.
Ed in effetti, tale interpretazione
potrebbe trovare conferma se si considerano attentamente le espressioni utilizzate
nel provvedimento del Garante ai fini d'individuazione dei trattamenti sottratti
all'obbligo di notificazione. Il Garante, infatti, alle lettere a) e b) del punto
4) stabilisce l'esonero dalla notificazione per i "trattamenti di dati
personali che non siano fondati unicamente su un trattamento automatizzato volto
a definire profili professionali, effettuati per esclusive finalità di
occupazione o di gestione del rapporto di lavoro …" ovvero per i
"trattamenti di dati personali che non siano fondati unicamente su un
trattamento automatizzato volto a definire il profilo di un investitore …".
Da
un lato, sembrerebbe subito da escludere che il Garante abbia inteso riferirsi,
al fine dell'esonero, anche alla contemporanea presenza di trattamenti "senza
l'ausilio di strumenti elettronici", dato che la lettera d), dell'art
37 del Codice, è riferita esclusivamente a trattamenti effettuati con l'ausilio
di strumenti elettronici, e quindi non avrebbe molto senso una simile ipotesi.
D'altro lato, è indubbio che il Garante ha utilizzato l'espressione
"trattamenti automatizzati" mentre la lettera d), dell'art. 37 del
Codice, utilizza l'espressione "dati trattati con l'ausilio di strumenti
elettronici". Dato che vi è una differenza, e considerato che
l'esonero non sarebbe applicabile nel caso in cui il trattamento riguardasse o
"categorie di interessati" o "finalità" differenti,
o eccedenti, rispetto a quelle elencate, a questo punto sembrerebbe corretto interpretare
l'espressione "che non siano fondati unicamente su un trattamento automatizzato"
nel senso di prevedere l'obbligo di notificazione per i soli casi in cui sia operante
un vero e proprio sistema automatizzato che produce profili di individui. Diversamente,
sarebbe difficile trovare un senso compiuto all'espressione utilizzata a fini
d'esonero.
Ed in effetti, ad ulteriore conferma, occorre notare come
anche l'art. 14 del Codice, che disciplina la "definizione di profili
e della personalità dell'interessato" parla di "trattamento
automatizzato di dati personali volto a definire il profilo o la personalità
dell'interessato".
Ora, se è vero che l'esonero è
previsto solo per specifiche "categorie di interessati" e "finalità
di trattamento" (quelle indicate alle lettere a) e b) del punto 4) del provvedimento
del Garante), nonostante la presenza di un "trattamento automatizzato",
allora si può concludere, per logica conseguenza, che (i) per il caso di
trattamenti che dovessero riguardare, o comprendere anche, altre "categorie
di interessati" e/o "finalità di trattamento" (ovviamente)
l'esonero non vale; ma anche, argomentando a contrariis, che (ii) in assenza di
un vero e proprio "trattamento automatizzato" (vale a dire di
un quid elaborativo in più rispetto al mero trattamento con l'ausilio di
strumenti elettronici), l'obbligo di notificazione non è dovuto, dato che,
in via interpretativa, non si rientrerebbe nella fattispecie prevista dalla lettera
d) dell'art. 37 del Codice.
Se queste considerazioni sono valide, ne
consegue che in tutti i casi in cui vengono raccolti e trattati dati commerciali,
ad esempio di clienti e fornitori, e ciò mediante l'ausilio di strumenti
elettronici, senza tuttavia la presenza di un vero e proprio trattamento automatizzato
per mezzo di apposito sistema di generazione profili, allora non sarà dovuta
la notificazione ai sensi della lettera d).
Naturalmente, l'obbligo di
notificazione sarà dovuto, viceversa, per il caso in cui il titolare si
avvalga di un sistema automatizzato (quid pluris) per la generazione dei profili
(non essendo operante, al di fuori delle ipotesi descritte l'esonero concesso
dal Garante).
Trattamento di dati registrati in apposite banche di dati
gestite con strumenti elettronici e relative al rischio sulla solvibilità
economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni,
a comportamenti illeciti o fraudolenti
Fortunatamente il provvedimento
del Garante ha sottratto all'obbligo della notificazione ben sei fattispecie di
trattamento di dati personali rientranti nelle ipotesi in commento e, tra queste,
anche quella che maggiormente preoccupava le imprese e gli imprenditori. In effetti,
analizzando il contenuto delle Tabelle sembrava ineluttabile concludere per l'obbligo
di notificazione per qualunque soggetto che avesse anche solo strumenti minimi
di controllo delle fatture emesse e dei crediti di fornitura non ancora estinti.
La
formulazione adottata da Garante appare ampia e rassicurante, anche se il testo
letterale appare non del tutto logico. Dispone, infatti, che non rilevano, e quindi
non sono soggetti a notificazione, "i trattamenti di dati personali registrati
in banche di dati utilizzate in rapporti con l'interessato di fornitura di beni,
prestazioni o servizi, o per adempimenti contabili o fiscali, anche in caso di
inadempimenti contrattuali, azioni di recupero del credito e contenzioso con l'interessato".
La
definizione non specifica la natura del rapporto, tuttavia concordo che appare
superfluo dato che non potrebbe altro trattarsi che di rapporti di natura contrattuale
o derivanti da atto unilaterale. Piuttosto, rilevo che viene effettuata una distinzione
tra rapporti di fornitura e adempimenti contabili o fiscali. Ciò legittima
l'interpretazione che il beneficio si estenda anche a chi effettua trattamenti
per fini contabili o fiscali senza avere rapporto con l'interessano. Anche ciò
appare logico e sensato.
Qualche dubbio desta la parte finale "anche
in caso di inadempimenti contrattuali, azioni di recupero del credito e contenzioso
con l'interessato".
Dato che è stata individuata l'ipotesi
principale del rapporto con l'interessato per la fornitura di beni, prestazioni
o servizi (tripartizione singolare, giacché di solito cisi riferisce a
"fornitura di beni" o "prestazione di servizi"
ed è difficile immaginare la "fornitura di prestazioni"),
ipotesi che include ogni possibile ulteriore attività conseguente o derivata,
non si comprende il senso della specificazione estensiva. L'uso della parola "anche"
esclude categoricamente che le ipotesi in questione possano essere considerate
autonomamente. Anche perché, in tale ipotesi, sarebbe, ad esempio, esonerata
l'attività (eventuale e susseguente) di vero e proprio recupero del credito,
o contenziosa, mentre "scatterebbe" paradossalmente l'obbligo
di notifica alla preventiva e naturale attività di mero controllo delle
poste in scadenza, secondo la normale prassi commerciale. Preferisco concludere
che si tratta d'espressione pleonastica ed irrilevante, ed osservo che sarebbe
preferibile, in testi che modificano la portata di norme primarie, maggiore chiarezza.
Milano,
11 aprile 2004
Luigi Neirotti
Avvocato in Milano
Partner Studio Legale
Tributario - EYLaw
Responsabile del dipartimento di diritto dell'informatica
