Notificazione al Garante: esempi pratici nel caso di utilizzo della tecnologia

È ormai prossimo il termine di scadenza per il rinnovo della notificazione al Garante relativamente all’esistenza di un’attività di raccolta e utilizzazione di dati personali. Difatti, entro il 30 aprile 2004, i titolari dei trattamenti indicati dalla legge, dovranno procedere a trasmettere al Garante – mediante via telematica e con l’utilizzo della firma elettronica – la dichiarazione con la quale rendono nota allo stesso l’esistenza di tale attività.  I trattamenti da notificare sono quelli elencati all’art. 37 del decreto legislativo 196/2003, ma il Garante ha provveduto recentemente ad individuare delle sottocategorie per cui tale notificazione è esclusa. Vediamo alcuni casi che potrebbero risultare più interessanti per  coloro che operano interagendo con le nuove tecnologie. Tra i dati indicati dalla prima categoria individuata dal codice, troviamo i dati biometrici: della biometria abbiamo più volte parlato come uno “strumento” particolarmente delicato in quanto consente  il riconoscimento dell’identità di un individuo mediante l’identificazione di particolari caratteristiche del corpo umano; dalla notifica sono esclusi i trattamenti non sistematici di dati biometrici effettuati da esercenti le professioni sanitarie, qualora non siano organizzati in una banca di dati accessibile a terzi per via telematica; sempre alla prima categoria appartengono anche dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica: la notifica è esclusa solo qualora la raccolta avvenga esclusivamente a fini di sicurezza del trasporto: appare quindi evidente che laddove la raccolta dei dati non sia a fini di sicurezza ma a titolo, ad esempio, meramente organizzativo, il titolare dovrà procedere. Sono poi oggetto di notifica i trattamenti aventi ad oggetto prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria: la notifica è esclusa se i trattamenti sono effettuati non sistematicamente, rispetto a dati non organizzati in una banca di dati accessibile a terzi per via telematica e limitatamente ai dati e alle operazioni indispensabili per la tutela della salute o dell’incolumità fisica dell’interessato o di un terzo, e qualora la raccolta avvenga ad esclusivi fini di monitoraggio della spesa sanitaria o di  adempimento di obblighi normativi in materia di igiene e sicurezza del lavoro e della popolazione. Vige poi l’obbligo di notifica di quei dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti. Il Garante ha comunque ritenuto doversi escludere dall’onere di notifica  i trattamenti che non siano fondati unicamente su un trattamento automatizzato volto a definire profili professionali, effettuati per esclusive finalità di occupazione o di gestione del rapporto di lavoro. Da questa tipologia di dati vanno anche scartati quelli  relativi all’utilizzo di marcatori elettronici o di dispositivi analoghi installati, oppure memorizzati temporaneamente, e non persistenti, presso l’apparecchiatura terminale di un utente, consistenti nella sola trasmissione di identificativi di sessione in conformità alla disciplina applicabile, all’esclusivo  fine di agevolare l’accesso ai contenuti di un sito Internet. Infine i dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti devono essere segnalate. In tale ambito il Garante ha però precisato doversi non doversi procedere qualora si tratti di dati raccolti in  pubblici registri o elenchi conoscibili da chiunque o di dati  registrati in banche di dati utilizzate in rapporti con l’interessato di fornitura di beni, prestazioni o servizi, o per adempimenti contabili o fiscali, anche in caso di inadempimenti contrattuali, azioni di recupero del credito e contenzioso con l’interessato; sono infine esclusi i dati registrati in banche di dati utilizzate da soggetti pubblici o privati per adempiere esclusivamente ad obblighi normativi in materia di rapporto di lavoro, previdenza o assistenza. Un richiamo si ha anche in merito alla videosorveglianza: dall’obbligo di notifica sono esclusi i dati relativi a immagini o suoni conservati temporaneamente per esclusive finalità di sicurezza o di tutela delle persone o del patrimonio. Al di là dunque dell’obbligo di ri-notificare i trattamenti al Garante, è comunque in vigore già dal primo gennaio 2004, l’obbligo della prima notifica per chi tratta i dati indicati dall’art. 37 Codice Privacy. Ma che fine faranno le notifiche? Ebbene sarà costituito un registro pubblico delle stesse consultabile gratuitamente on line potendo così chiunque acquisire notizie ed utilizzarle per le finalità di applicazione del Codice stesso, come ad esempio in caso di diritto di accesso ai dati o di riscontro. È opportuno infine sapere che la omessa o incompleta notificazione può comportare una sanzione da 10.000 a 60.000 euro, mentre in caso di falsità di dichiarazioni e notificazione al Garante, la reclusione è da 6 mesi a 3 anni.  Si consiglia dunque di visitare il sito www.garanteprivacy.it sul quale sono presenti integralmente le categorie di trattamenti da notificare e non.

Avv. Valentina Frediani

www.consulentelegaleinformatico.it