Brevi considerazioni in merito al provvedimento del Garante per la protezione dei dati personali

Brevi considerazioni in merito al provvedimento del Garante per la protezione dei dati personali relativo ai casi da sottrarre all’obbligo di notificazione

Il Garante per la protezione dei dati personali è intervenuto con propria deliberazione n. 1 del 31 marzo 2004 [http://www.garanteprivacy.it/garante/doc.jsp?ID=852561] al fine di sottrarre all’obbligo di notificazione alcuni specifici trattamenti di dati personali.

Come noto, nel nuovo Codice per la protezione dei dati personali (nel seguito: il “Codice”) il sistema della notificazione è radicalmente cambiato rispetto al regime introdotto dalla legge 31 dicembre 1996, n. 675. Mentre in precedenza la notificazione era obbligatoria per tutti i titolari di trattamento, salvo alcune ridotte eccezioni di esonero (art. 7, comma 5-ter), essa risulta ora obbligatoria sono in specifiche ipotesi di trattamento di dati personali.

In particolare, l’art. 37, comma 1, del Codice individua alcuni trattamenti a fronte dei quali sorge l’obbligo di notificazione secondo le nuove modalità telematiche messe a punto dall’Ufficio del Garante. Il comma 2 dello stesso articolo, tuttavia, attribuisce al Garante (i) il potere di individuare ulteriori trattamenti da assoggettare all’obbligo di notificazione, in ragione del rischio di pregiudizio che potrebbero arrecare agli interessanti; così come, (ii) il potere di sottrarre dall’obbligo di notificazione trattamenti indicati nel comma 1 qualora ritenuti “non suscettibili di recare pregiudizio” agli interessati.

Con il provvedimento in commento il Garante ha, quindi, deciso di avvalersi del potere concessogli dal legislatore, per il momento unicamente nel senso di ridurre le fattispecie in cui la notificazione è obbligatoria. In via incidentale sembra interessante notare, da un punto di vista costituzionale, come l’art. 37, comma 2, contenga una specie di delega “in bianco” ad un organo non costituzionale, un’autorità indipendente, al fine di intervenire nell’ordinamento positivo, ampliando e riducendo di fatto, nemmeno temporaneamente, la portata di disposizioni normative di rango primario. Su quest’aspetto sarebbe interessante condurre un approfondimento: tuttavia, ragioni di brevità e la pressione degli adempimenti in scadenza impongono di rinviare al futuro ulteriori considerazioni.

Nonostante il provvedimento del Garante, che salutiamo naturalmente con favore, alcuni dubbi interpretativi rimangono in merito a talune fattispecie di trattamento per le quali molti titolari si domandano, in vista della prossima scadenza del 30 aprile, se la notificazione sia dovuta o meno.

Avvantaggiandomi dell’esperienza degli interventi che mi è capitato di effettuare in questi mesi, esaminerò nel seguito i principali casi per i quali qualche dubbio rimane.

A fine dello sviluppo delle argomentazioni, particolare attenzione verrà rivolta anche al contenuto delle tabelle (nel seguito: le “Tabelle”) che il Garante ha predisposto al fine della compilazione della notificazione [cfr. https://web.garanteprivacy.it/rgt/Tabelle_della_procedura_di_notificazione.pdf]. È opinione di chi scrive che esse contengano indicazioni di cui non si possa non tenere conto al fine di determinare il contenuto dei precetti stabiliti dall’art. 37, comma 1, del Codice.

Trattamento di dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica

Tra i trattamenti individuati nella lettera a), preso atto delle esclusioni operate, uno in particolare desta notevoli dubbi interpretativi e riguarda, potenzialmente, un numero molto elevato di soggetti.

Sin dalla pubblicazione del Codice ci si è domandato se, nel trattamento in questione, rientrassero i cd. “sistemi di controllo accessi e/o rilevazione presenze” dei dipendenti, molto spesso basati sull’utilizzo di tessere magnetiche (badge) e se, pertanto, l’impiego di tali sistemi determinasse l’obbligo di notificazione quanto ai trattamenti indotti.

L’interesse appare giustificato tenuto conto della vastità dei soggetti che coinvolge in rapporto all’obiettivo dichiarato di drastica riduzione dei soggetti onerati dall’obbligo di notificazione.
Analizzando il contenuto delle Tabelle, in particolare tenuto conto che

  • quanto alle “categorie di dati”, esse individuano i “dati idonei a rilevare la posizione di persone”;
  • quanto alle “categorie di interessati cui si riferiscono i dati”, esse individuano “lavoratori e collaboratori”;
  • quanto alle “finalità”, esse individuano la “gestione del personale”;
  • quanto alle “modalità”, esse individuano la “rilevazione sistematica di dati senza particolari elaborazioni” così come la “cancellazione di dati immediata o nel breve periodo (massimo alcuni giorni)”;

prudenza imporrebbe di considerare come rientrante nella fattispecie in oggetto, e quindi soggetto a notificazione, un trattamento di dati correlato all’utilizzo di un “sistema di controllo accessi e/o rilevazione presenze” dei dipendenti, a condizione tuttavia che il sistema tratti i dati mediante una rete di comunicazioni elettronica.

Proprio in relazione a tale espressione sorge il dubbio maggiore. Se, cioè, vada considerata come rilevante anche una semplice rete interna, che metta in collegamento i vari dispositivi posti in corrispondenza delle entrate (o anche di una sola entrata) con il sistema che elabora/memorizza i dati delle presenze e degli accessi. Ovvero, se a fini dell’obbligo della notificazione sia richiesto un quid in più.

A mio giudizio dovrebbe risultare necessario un qualcosa in più. Vale a dire un vero e proprio “sistema di interconnessione” tra i sistemi di rilevazione del passaggio o della presenza dell’interessato (lavoratore e collaboratore) ed il sistema di elaborazione/memorizzazione dei dati, i quali dovrebbero inoltre insistere su luoghi fisicamente diversi tra loro. Ulteriore aspetto rilevante, mi sembra, dovrebbe essere la presenza di più sedi di lavoro ubicate su più siti, geograficamente distinti tra loro.

Ancorché indicativo della posizione fisica di una persona, la rilevazione presenza di un lavoratore presso un titolare che operi attraverso un sito unitario geograficamente non mi sembrerebbe rilevante ai fini della tutela delle libertà individuali dell’interessato. E’ evidente che un lavoratore deve recarsi (giornalmente) presso il luogo di lavoro, ed anzi solo in determinate e giustificate ipotesi è consentito che non si trovi in quel luogo.

Ben diverso appare, a giudizio di chi scrive, il caso di imprese ubicate su più siti operativi, distinti geograficamente. In questo caso mi sembra che la notificazione sia dovuta, sempre che venga impiegato un sistema di “rilevazione accessi” o “controllo presenze” collegato ad un sistema centrale attraverso una rete di comunicazione elettronica. Un dubbio potrebbe forse venire per il caso in cui tutti i siti operativi di un titolare siano ubicati nello stesso comune. In tal caso, tuttavia, ragioni di prudenza, consiglierebbero di procedere comunque alla notifica.

Trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria

L’intervento del Garante ha sottratto all’obbligo di notificazione alcuni trattamenti eseguiti da esercenti le professioni sanitarie. Tuttavia, anche il provvedimento del Garante “insiste” nell’uso di espressioni confuse, con predicati verbali e complementi di argomento impliciti.

Senza peccare d’esterofilia, dove l’uso della “tabulazione” nei documenti a carattere legale è “imposto” a fini di chiarezza, nell’ipotesi in commento una maggiore chiarezza sarebbe auspicabile.

Se dal un lato appare indubbio che l’ipotesi in commento riguardi il “trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita”, i problemi intepretativi nascono a mano a mano che ci si addentra nell’espressione utilizzata.

Ci si domanda, infatti, se “trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di” non debba essere considerata espressione comune, che regge tutte le altre che seguono.

In tal caso, sembrerebbe forse sensato individuare l’espressione “trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni”, ipotesi più circoscritta rispetto alla mera “prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni”, in entrambi i casi comunque oscura e di difficile decifrazione, anche se il riferimento ai dati idonei a rivelare la “vita sessuale” appare strampalato.

Stesse considerazioni valgono per le espressioni che seguono. Vale a dire se debbano essere considerate isolatamente le espressioni “indagini epidemiologiche”, “rilevazione di malattie mentali, infettive e diffusive, sieropositività”, “trapianto di organi e tessuti” e “monitoraggio della spesa sanitaria”, ovvero se anch’esse debbano essere raccordate alla radice comune.
Dato che non viene usata una formula disgiuntiva, bensì cumulativa, “dati idonei a rivelare lo stato di salute e la vita sessuale”, verrebbe da pensare che:

  • avrebbe, forse, qualche senso compiuto il risultato combinato “trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di indagini epidemiologiche”;
  • poco senso avrebbe l’espressione “trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di rilevazione di malattie mentali, infettive e diffusive, sieropositività” ;
  • ancor meno senso avrebbe l’espressione “trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di trapianto di organi e tessuti”, per non parlare del “trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di monitoraggio della spesa sanitaria”

Tutto sommato risulta preferibile concludere, anche se con dubbi circa la possibile arbitrarietà di una simile operazione, che si tratti di ipotesi distinte tra loro, non accomunate dall’ipotizzata radice comune e che la notificazione risulta dovuta qualora il trattamento riguardi:

  • dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita;
  • prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni;
  • indagini epidemiologiche;
  • rilevazione di malattie mentali, infettive e diffusive, sieropositività;
  • trapianto di organi e tessuti; e,
  • monitoraggio della spesa sanitaria.

Tutto questo anche se nel provvedimento del Garante tale radice comune viene in qualche modo indirettamente suggerita sub lettera A, punto 2).

Da notare che l’espressione utilizzata nella lettera b) appare particolarmente infelice, laddove si consideri che in talune ipotesi vengono in rilievo dati sensibili, sanitari o relativi alla vita sessuale in relazione a determinate finalità o anche modalità di trattamento, mentre in altre ipotesi, non vengono in rilievo particolari finalità e/o modalità, dal che si intuisce che la “pericolosità” del trattamento è insita nella natura dei dati.

Trattamento effettuato con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con l’esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti

Il provvedimento del Garante ha sottotratto all’obbligo di notificazione due trattamenti molto diffusi, che avrebbero interessato moltissimi soggetti: (i) definizione di profili professionali per finalità di occupazione e (ii) definizione di profili di investitori da parte di intermediari finanziari in esecuzione di specifici regolamenti (Consob). Ciò non di meno, potrebbe risultare ancora ampio il novero delle ipotesi che rientrano nella lettera d), tanto che un numero rilevante d’imprese si domanda se dovrà procedere o meno alla notificazione, giusto l’obiettivo (dichiarato dal legislatore) di ridurre al minimo tale onere.

Osservato preliminarmente che il Codice non fornisce una definizione di “profilo dell’interessato” né di “analisi delle abitudini o scelte di consumo”, e che quindi risulta più difficoltoso interpretare la disposizione, anche in questo caso conviene valutare il contenuto delle Tabelle per ottenere qualche elemento di chiarimento.

Ebbene, considerato che:

  • quanto alle “categorie di dati”, esse individuano un insieme ampio, tra cui “dati relativi allo svolgimento di attività economiche e informazioni commerciali (es. fatturato, bilanci, aspetti economici, finanziari, organizzativi, produttivi, industriali, commerciali, imprenditoriali)”;
  • quanto alle “categorie di interessati cui si riferiscono i dati”, esse individuano un novero molto ampio di soggetti interessati che comprende, tra l’altro, “persone giuridiche, fisiche”, “consumatori”, “clienti o utenti;
  • quanto alle “finalità”, esse individuano con ipotesi molto ampia “attività commerciale”, “creazione di profili professionali relativi a clienti o consumatori”, “analisi delle abitudini o scelte di consumo”, “fornitura di beni e servizi”;
  • quanto alle “modalità”, esse individuano la “definizione di profili dell’interessato” solo come aggiuntiva ed ulteriore rispetto a “raccolta” e soprattutto “organizzazione in banche dati in forma prevalentemente automatizzata” o addirittura “organizzazione in banche dati in forma prevalentemente non automatizzata”.

A prima vista sembrerebbe che anche la mera attività di raccolta ed organizzazione di informazioni commerciali relative a propri clienti e fornitori rientrerebbe nella fattispecie in oggetto, e quindi sarebbe soggetta a notificazione, a patto che sia effettuata mediante “l’ausilio di strumenti elettronici”. Tale conclusione appare tuttavia eccessiva.

Potrebbe forse sorgere il dubbio che l’espressione della lettera d), dell’art. 37 del Codice, “dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo” implichi la presenza di un quid in più del mero trattamento elettronico, della mera memorizzazione delle informazioni commerciali in archivi elettronici (files), anche tra loro non coordinati (di fatto slegati tra loro), e che sia, invece, richiesta una vera e propria “applicazione” informatica che fornisca come output il “profilo dell’interessato” o l’analisi delle “abitudini e scelte di consumo”. Tale quid aggiuntivo richiesto potrebbe essere ravvisato qualora si ritenesse che l’espressione ” volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo” sia riferita non ai “dati”, bensì agli “strumenti elettronici”.

Accedendo a tale interpretazione, è evidente, si eviterebbe la notificazione per un numero molto ampio di soggetti (imprese) i quali trattano sì dati di soggetti (clienti, fornitori), tuttavia semplicemente raccogliendo e memorizzando informazioni, senza l’ausilio di un vero e proprio sistema automatizzato in grado di produrre profili degli interessati.

Ed in effetti, tale interpretazione potrebbe trovare conferma se si considerano attentamente le espressioni utilizzate nel provvedimento del Garante ai fini d’individuazione dei trattamenti sottratti all’obbligo di notificazione. Il Garante, infatti, alle lettere a) e b) del punto 4) stabilisce l’esonero dalla notificazione per i “trattamenti di dati personali che non siano fondati unicamente su un trattamento automatizzato volto a definire profili professionali, effettuati per esclusive finalità di occupazione o di gestione del rapporto di lavoro …” ovvero per i “trattamenti di dati personali che non siano fondati unicamente su un trattamento automatizzato volto a definire il profilo di un investitore …”.

Da un lato, sembrerebbe subito da escludere che il Garante abbia inteso riferirsi, al fine dell’esonero, anche alla contemporanea presenza di trattamenti “senza l’ausilio di strumenti elettronici”, dato che la lettera d), dell’art 37 del Codice, è riferita esclusivamente a trattamenti effettuati con l’ausilio di strumenti elettronici, e quindi non avrebbe molto senso una simile ipotesi.

D’altro lato, è indubbio che il Garante ha utilizzato l’espressione “trattamenti automatizzati” mentre la lettera d), dell’art. 37 del Codice, utilizza l’espressione “dati trattati con l’ausilio di strumenti elettronici”. Dato che vi è una differenza, e considerato che l’esonero non sarebbe applicabile nel caso in cui il trattamento riguardasse o “categorie di interessati” o “finalità” differenti, o eccedenti, rispetto a quelle elencate, a questo punto sembrerebbe corretto interpretare l’espressione “che non siano fondati unicamente su un trattamento automatizzato” nel senso di prevedere l’obbligo di notificazione per i soli casi in cui sia operante un vero e proprio sistema automatizzato che produce profili di individui. Diversamente, sarebbe difficile trovare un senso compiuto all’espressione utilizzata a fini d’esonero.

Ed in effetti, ad ulteriore conferma, occorre notare come anche l’art. 14 del Codice, che disciplina la “definizione di profili e della personalità dell’interessato” parla di “trattamento automatizzato di dati personali volto a definire il profilo o la personalità dell’interessato”.

Ora, se è vero che l’esonero è previsto solo per specifiche “categorie di interessati” e “finalità di trattamento” (quelle indicate alle lettere a) e b) del punto 4) del provvedimento del Garante), nonostante la presenza di un “trattamento automatizzato”, allora si può concludere, per logica conseguenza, che (i) per il caso di trattamenti che dovessero riguardare, o comprendere anche, altre “categorie di interessati” e/o “finalità di trattamento” (ovviamente) l’esonero non vale; ma anche, argomentando a contrariis, che (ii) in assenza di un vero e proprio “trattamento automatizzato” (vale a dire di un quid elaborativo in più rispetto al mero trattamento con l’ausilio di strumenti elettronici), l’obbligo di notificazione non è dovuto, dato che, in via interpretativa, non si rientrerebbe nella fattispecie prevista dalla lettera d) dell’art. 37 del Codice.

Se queste considerazioni sono valide, ne consegue che in tutti i casi in cui vengono raccolti e trattati dati commerciali, ad esempio di clienti e fornitori, e ciò mediante l’ausilio di strumenti elettronici, senza tuttavia la presenza di un vero e proprio trattamento automatizzato per mezzo di apposito sistema di generazione profili, allora non sarà dovuta la notificazione ai sensi della lettera d).

Naturalmente, l’obbligo di notificazione sarà dovuto, viceversa, per il caso in cui il titolare si avvalga di un sistema automatizzato (quid pluris) per la generazione dei profili (non essendo operante, al di fuori delle ipotesi descritte l’esonero concesso dal Garante).

Trattamento di dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti

Fortunatamente il provvedimento del Garante ha sottratto all’obbligo della notificazione ben sei fattispecie di trattamento di dati personali rientranti nelle ipotesi in commento e, tra queste, anche quella che maggiormente preoccupava le imprese e gli imprenditori. In effetti, analizzando il contenuto delle Tabelle sembrava ineluttabile concludere per l’obbligo di notificazione per qualunque soggetto che avesse anche solo strumenti minimi di controllo delle fatture emesse e dei crediti di fornitura non ancora estinti.

La formulazione adottata da Garante appare ampia e rassicurante, anche se il testo letterale appare non del tutto logico. Dispone, infatti, che non rilevano, e quindi non sono soggetti a notificazione, “i trattamenti di dati personali registrati in banche di dati utilizzate in rapporti con l’interessato di fornitura di beni, prestazioni o servizi, o per adempimenti contabili o fiscali, anche in caso di inadempimenti contrattuali, azioni di recupero del credito e contenzioso con l’interessato”.

La definizione non specifica la natura del rapporto, tuttavia concordo che appare superfluo dato che non potrebbe altro trattarsi che di rapporti di natura contrattuale o derivanti da atto unilaterale. Piuttosto, rilevo che viene effettuata una distinzione tra rapporti di fornitura e adempimenti contabili o fiscali. Ciò legittima l’interpretazione che il beneficio si estenda anche a chi effettua trattamenti per fini contabili o fiscali senza avere rapporto con l’interessano. Anche ciò appare logico e sensato.
Qualche dubbio desta la parte finale “anche in caso di inadempimenti contrattuali, azioni di recupero del credito e contenzioso con l’interessato”.

Dato che è stata individuata l’ipotesi principale del rapporto con l’interessato per la fornitura di beni, prestazioni o servizi (tripartizione singolare, giacché di solito cisi riferisce a “fornitura di beni” o “prestazione di servizi” ed è difficile immaginare la “fornitura di prestazioni”), ipotesi che include ogni possibile ulteriore attività conseguente o derivata, non si comprende il senso della specificazione estensiva. L’uso della parola “anche” esclude categoricamente che le ipotesi in questione possano essere considerate autonomamente. Anche perché, in tale ipotesi, sarebbe, ad esempio, esonerata l’attività (eventuale e susseguente) di vero e proprio recupero del credito, o contenziosa, mentre “scatterebbe” paradossalmente l’obbligo di notifica alla preventiva e naturale attività di mero controllo delle poste in scadenza, secondo la normale prassi commerciale. Preferisco concludere che si tratta d’espressione pleonastica ed irrilevante, ed osservo che sarebbe preferibile, in testi che modificano la portata di norme primarie, maggiore chiarezza.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.