Notificazione al Garante:
esempi pratici nel caso di utilizzo della
tecnologia
È ormai prossimo il
termine di scadenza per il rinnovo della notificazione al Garante relativamente
all’esistenza di un’attività di raccolta e utilizzazione di dati personali. Difatti,
entro il 30 aprile 2004, i titolari dei trattamenti indicati dalla legge,
dovranno procedere a trasmettere al Garante – mediante via telematica e con
l’utilizzo della firma elettronica – la dichiarazione con la quale rendono nota
allo stesso l’esistenza di tale attività.
I trattamenti da
notificare sono quelli elencati all’art. 37 del decreto legislativo 196/2003,
ma il Garante ha provveduto recentemente ad individuare delle sottocategorie
per cui tale notificazione è esclusa. Vediamo alcuni casi che potrebbero
risultare più interessanti per coloro
che operano interagendo con le nuove tecnologie.
Tra i dati indicati dalla
prima categoria individuata dal codice, troviamo i dati biometrici: della
biometria abbiamo più volte parlato come uno “strumento” particolarmente
delicato in quanto consente il
riconoscimento dell’identità di un individuo mediante l’identificazione di
particolari caratteristiche del corpo umano; dalla notifica sono esclusi i
trattamenti non sistematici di dati biometrici effettuati da esercenti le
professioni sanitarie, qualora non siano organizzati in una banca di dati
accessibile a terzi per via telematica; sempre alla prima categoria
appartengono anche dati che indicano
la posizione geografica di persone od oggetti mediante una rete di
comunicazione elettronica: la notifica è esclusa solo qualora la raccolta
avvenga esclusivamente
a fini di sicurezza del trasporto: appare quindi evidente che laddove la
raccolta dei dati non sia a fini di sicurezza ma a titolo, ad esempio, meramente
organizzativo, il titolare dovrà procedere.
Sono poi oggetto di
notifica i trattamenti aventi ad oggetto prestazione di servizi sanitari per
via telematica relativi a banche di dati o alla fornitura di beni, indagini
epidemiologiche, rilevazione di malattie mentali, infettive e diffusive,
sieropositività, trapianto di organi e tessuti e monitoraggio della spesa
sanitaria: la notifica è esclusa se i trattamenti sono effettuati non
sistematicamente, rispetto a dati non organizzati in una banca di dati accessibile
a terzi per via telematica e limitatamente ai dati e alle operazioni
indispensabili per la tutela della salute o dell’incolumità fisica
dell’interessato o di un terzo, e qualora la raccolta avvenga ad esclusivi fini
di monitoraggio della spesa sanitaria o di adempimento di obblighi
normativi in materia di igiene e sicurezza del lavoro e della popolazione.
Vige poi l’obbligo di
notifica di quei dati trattati con l'ausilio di strumenti elettronici volti a
definire il profilo o la personalità dell'interessato, o ad analizzare
abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di
comunicazione elettronica con esclusione dei trattamenti tecnicamente
indispensabili per fornire i servizi medesimi agli utenti. Il Garante ha
comunque ritenuto doversi escludere dall’onere di notifica i trattamenti che non siano fondati
unicamente su un trattamento automatizzato volto a definire profili
professionali, effettuati per esclusive finalità di occupazione o di gestione
del rapporto di lavoro. Da questa tipologia di dati vanno anche scartati quelli
relativi all’utilizzo di marcatori elettronici o di dispositivi analoghi
installati, oppure memorizzati temporaneamente, e non persistenti, presso
l’apparecchiatura terminale di un utente, consistenti nella sola trasmissione
di identificativi di sessione in conformità alla disciplina applicabile,
all’esclusivo fine di agevolare l’accesso ai contenuti di un sito
Internet. Infine i dati registrati in apposite banche di dati gestite con
strumenti elettronici e relative al rischio sulla solvibilità economica, alla
situazione patrimoniale, al corretto adempimento di obbligazioni, a
comportamenti illeciti o fraudolenti devono essere segnalate. In tale ambito il
Garante ha però precisato doversi non doversi procedere qualora si tratti di
dati raccolti in pubblici registri o elenchi
conoscibili da chiunque o di dati registrati in banche di dati utilizzate
in rapporti con l’interessato di fornitura di beni, prestazioni o servizi, o
per adempimenti contabili o fiscali, anche in caso di inadempimenti
contrattuali, azioni di recupero del credito e contenzioso con l’interessato;
sono infine esclusi i dati registrati in banche di dati utilizzate da soggetti
pubblici o privati per adempiere esclusivamente ad obblighi normativi in
materia di rapporto di lavoro, previdenza o assistenza. Un richiamo si ha anche
in merito alla videosorveglianza: dall’obbligo di notifica sono esclusi i dati relativi
a immagini o suoni conservati temporaneamente per esclusive finalità di sicurezza
o di tutela delle persone o del patrimonio. Al di là dunque dell’obbligo di
ri-notificare i trattamenti al Garante, è comunque in vigore già dal primo
gennaio 2004, l’obbligo della prima notifica per chi tratta i dati indicati
dall’art. 37 Codice Privacy.
Ma che fine faranno le
notifiche? Ebbene sarà costituito un registro pubblico delle stesse
consultabile gratuitamente on line potendo così chiunque acquisire notizie ed
utilizzarle per le finalità di applicazione del Codice stesso, come ad esempio
in caso di diritto di accesso ai dati o di riscontro. È opportuno infine sapere
che la omessa o incompleta notificazione può comportare una sanzione da 10.000
a 60.000 euro, mentre in caso di falsità di dichiarazioni e notificazione al
Garante, la reclusione è da 6 mesi a 3 anni. Si consiglia dunque di visitare il sito www.garanteprivacy.it sul
quale sono presenti integralmente le categorie di trattamenti da notificare e
non.
Avv. Valentina Frediani
www.consulentelegaleinformatico.it