Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

Protezione dei dati personali

Notificazioni: poco chiaro il provvedimento sugli esoneri - 2

di Luigi Neirotti* - 29.04.04

 

Prima parte

Seconda parte

Trattamento effettuato con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con l'esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti

Il provvedimento del Garante ha sottratto all'obbligo di notificazione due trattamenti molto diffusi, che avrebbero interessato moltissimi soggetti: 1) definizione di profili professionali per finalità di occupazione e 2) definizione di profili di investitori da parte di intermediari finanziari in esecuzione di specifici regolamenti (Consob). Ciò non di meno, potrebbe risultare ancora ampio il novero delle ipotesi che rientrano nella lettera d), tanto che un numero rilevante d'imprese si domanda se dovrà procedere o meno alla notificazione, giusto l'obiettivo (dichiarato dal legislatore) di ridurre al minimo tale onere.

Osservato preliminarmente che il codice non fornisce una definizione di profilo dell'interessato né di analisi delle abitudini o scelte di consumo, e che quindi risulta più difficoltoso interpretare la disposizione, anche in questo caso conviene valutare il contenuto delle tabelle per ottenere qualche elemento di chiarimento.
Ebbene, considerato che:
- quanto alle categorie di dati, esse individuano un insieme ampio, tra cui dati relativi allo svolgimento di attività economiche e informazioni commerciali (es. fatturato, bilanci, aspetti economici, finanziari, organizzativi, produttivi, industriali, commerciali, imprenditoriali);
- quanto alle categorie di interessati cui si riferiscono i dati, esse individuano un novero molto ampio di soggetti interessati che comprende, tra l'altro, persone giuridiche, fisiche, consumatori, clienti o utenti;
- quanto alle finalità, esse individuano con ipotesi molto ampia attività commerciale, creazione di profili professionali relativi a clienti o consumatori, analisi delle abitudini o scelte di consumo, fornitura di beni e servizi;
- quanto alle modalità, esse individuano la definizione di profili dell'interessato solo come aggiuntiva ed ulteriore rispetto a raccolta e soprattutto organizzazione in banche dati in forma prevalentemente automatizzata o addirittura organizzazione in banche dati in forma prevalentemente non automatizzata,

a prima vista sembrerebbe che anche la mera attività di raccolta ed organizzazione di informazioni commerciali relative a propri clienti e fornitori rientrerebbe nella fattispecie in oggetto, e quindi sarebbe soggetta a notificazione, a patto che sia effettuata mediante l'ausilio di strumenti elettronici. Tale conclusione appare tuttavia eccessiva.

Potrebbe forse sorgere il dubbio che l'espressione della lettera d), dell'art. 37 del codice, dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo implichi la presenza di un quid in più del mero trattamento elettronico, della mera memorizzazione delle informazioni commerciali in archivi elettronici (files), anche tra loro non coordinati (di fatto slegati tra loro), e che sia, invece, richiesta una vera e propria applicazione informatica che fornisca come output il profilo dell'interessato o l'analisi delle abitudini e scelte di consumo. Tale quid aggiuntivo richiesto potrebbe essere ravvisato qualora si ritenesse che l'espressione volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo sia riferita non ai dati, bensì agli strumenti elettronici.

Accedendo a tale interpretazione, è evidente, si eviterebbe la notificazione per un numero molto ampio di soggetti (imprese) i quali trattano sì dati di soggetti (clienti, fornitori), tuttavia semplicemente raccogliendo e memorizzando informazioni, senza l'ausilio di un vero e proprio sistema automatizzato in grado di produrre profili degli interessati.
Ed in effetti, tale interpretazione potrebbe trovare conferma se si considerano attentamente le espressioni utilizzate nel provvedimento del Garante ai fini d'individuazione dei trattamenti sottratti all'obbligo di notificazione. Il Garante, infatti, alle lettere a) e b) del punto 4) stabilisce l'esonero dalla notificazione per i trattamenti di dati personali che non siano fondati unicamente su un trattamento automatizzato volto a definire profili professionali, effettuati per esclusive finalità di occupazione o di gestione del rapporto di lavoro . ovvero per i trattamenti di dati personali che non siano fondati unicamente su un trattamento automatizzato volto a definire il profilo di un investitore..

Da un lato, sembrerebbe subito da escludere che il Garante abbia inteso riferirsi, al fine dell'esonero, anche alla contemporanea presenza di trattamenti senza l'ausilio di strumenti elettronici, dato che la lettera d), dell'art 37 del codice, è riferita esclusivamente a trattamenti effettuati con l'ausilio di strumenti elettronici, e quindi non avrebbe molto senso una simile ipotesi.
D'altro lato, è indubbio che il Garante ha utilizzato l'espressione trattamenti automatizzati mentre la lettera d), dell'art. 37 del codice, utilizza l'espressione dati trattati con l'ausilio di strumenti elettronici. Dato che vi è una differenza, e considerato che l'esonero non sarebbe applicabile nel caso in cui il trattamento riguardasse o "categorie di interessati" o "finalità" differenti, o eccedenti, rispetto a quelle elencate, a questo punto sembrerebbe corretto interpretare l'espressione che non siano fondati unicamente su un trattamento automatizzato nel senso di prevedere l'obbligo di notificazione per i soli casi in cui sia operante un vero e proprio sistema automatizzato che produce profili di individui. Diversamente, sarebbe difficile trovare un senso compiuto all'espressione utilizzata a fini d'esonero.

Ed in effetti, ad ulteriore conferma, occorre notare come anche l'art. 14 del codice, che disciplina la "definizione di profili e della personalità dell'interessato" parla di trattamento automatizzato di dati personali volto a definire il profilo o la personalità dell'interessato.
Ora, se è vero che l'esonero è previsto solo per specifiche categorie di interessati e finalità di trattamento (quelle indicate alle lettere a) e b) del punto 4) del provvedimento del Garante), nonostante la presenza di un "trattamento automatizzato", allora si può concludere, per logica conseguenza, che 1) per il caso di trattamenti che dovessero riguardare, o comprendere anche, altre categorie di interessati e/o finalità di trattamento (ovviamente) l'esonero non vale; ma anche, argomentando a contrariis, che 2) in assenza di un vero e proprio "trattamento automatizzato" (vale a dire di un quid elaborativo in più rispetto al mero trattamento con l'ausilio di strumenti elettronici), l'obbligo di notificazione non è dovuto, dato che, in via interpretativa, non si rientrerebbe nella fattispecie prevista dalla lettera d) dell'art. 37 del codice.

Se queste considerazioni sono valide, ne consegue che in tutti i casi in cui vengono raccolti e trattati dati commerciali, ad esempio di clienti e fornitori, e ciò mediante l'ausilio di strumenti elettronici, senza tuttavia la presenza di un vero e proprio trattamento automatizzato per mezzo di apposito sistema di generazione profili, allora non sarà dovuta la notificazione ai sensi della lettera d). Naturalmente, l'obbligo di notificazione sarà dovuto, viceversa, per il caso in cui il titolare si avvalga di un sistema automatizzato (quid pluris) per la generazione dei profili (non essendo operante, al di fuori delle ipotesi descritte, l'esonero concesso dal Garante).

Trattamento di dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti

Fortunatamente il provvedimento del Garante ha sottratto all'obbligo della notificazione ben sei fattispecie di trattamento di dati personali rientranti nelle ipotesi in commento e, tra queste, anche quella che maggiormente preoccupava le imprese e gli imprenditori. In effetti, analizzando il contenuto delle tabelle sembrava ineluttabile concludere per l'obbligo di notificazione per qualunque soggetto che avesse anche solo strumenti minimi di controllo delle fatture emesse e dei crediti di fornitura non ancora estinti.

La formulazione adottata da Garante appare ampia e rassicurante, anche se il testo letterale appare non del tutto logico. Dispone, infatti, che non rilevano, e quindi non sono soggetti a notificazione, i trattamenti di dati personali registrati in banche di dati utilizzate in rapporti con l'interessato di fornitura di beni, prestazioni o servizi, o per adempimenti contabili o fiscali, anche in caso di inadempimenti contrattuali, azioni di recupero del credito e contenzioso con l'interessato.
La definizione non specifica la natura del rapporto, tuttavia concordo che appare superfluo dato che non potrebbe altro trattarsi che di rapporti di natura contrattuale o derivanti da atto unilaterale.

Piuttosto, rilevo che viene effettuata una distinzione tra rapporti di fornitura e adempimenti contabili o fiscali. Ciò legittima l'interpretazione che il beneficio si estenda anche a chi effettua trattamenti per fini contabili o fiscali senza avere rapporto con l'interessato. Anche ciò appare logico e sensato.
Qualche dubbio desta la parte finale anche in caso di inadempimenti contrattuali, azioni di recupero del credito e contenzioso con l'interessato.

Dato che è stata individuata l'ipotesi principale del rapporto con l'interessato per la fornitura di beni, prestazioni o servizi (tripartizione singolare, giacché di solito ci si riferisce a "fornitura di beni" o "prestazione di servizi" ed è difficile immaginare la "fornitura di prestazioni"), ipotesi che include ogni possibile ulteriore attività conseguente o derivata, non si comprende il senso della specificazione estensiva. L'uso della parola "anche" esclude categoricamente che le ipotesi in questione possano essere considerate autonomamente. Anche perché, in tale ipotesi, sarebbe, ad esempio, esonerata l'attività (eventuale e susseguente) di vero e proprio recupero del credito, o contenziosa, mentre "scatterebbe" paradossalmente l'obbligo di notifica alla preventiva e naturale attività di mero controllo delle poste in scadenza, secondo la normale prassi commerciale. Preferisco concludere che si tratta d'espressione pleonastica ed irrilevante, ed osservo che sarebbe preferibile, in testi che modificano la portata di norme primarie, maggiore chiarezza.
 

* Avvocato in Milano, partner Studio Legale Tributario - EYLaw - Responsabile del dipartimento di diritto dell'informatica

Inizio pagina  Indice della sezione  Prima pagina © InterLex 2004 Informazioni sul copyright