(Prima parte - Seconda parte - Terza parte - Quarta parte: istruzioni per l'installazione e la compilazione del modulo in formato digitale)

Premessa
Il 24 marzo si è tenuto a Roma l'incontro chiesto dall'Associazione italiana Internet providers al Garante per la protezione dei dati personali, per risolvere alcuni dubbi sul contenuto della notificazione in relazione alle caratteristiche specifiche dei trattamenti in ambito Internet.
Il presidente Rodotà ha accolto con molta cordialità gli esponenti dell'AIIP (il presidente Marco Barbuti, il vicepresidente Paolo Nuti e il consigliere Roberto Cicciomessere); la riunione è quindi proseguita con il componente del Garante Claudio Manganelli e il segretario generale Giovanni Buttarelli.
L'AIIP mi ha dato la possibilità di partecipare all'incontro e sono quindi in grado di riferire direttamente i punti essenziali, che presento in forma di risposte alle numerose domande che in queste settimane sono giunte alla nostra redazione.

(Manlio Cammarata)

ATTENZIONE

Se nei prossimi giorni arriveranno altre domande di interesse generale, aggiorneremo tempestivamente le FAQ fino alla mattina di lunedì 30 (ricordiamo che il termine per la presentazione delle notificazioni scade martedì 31).
In ogni caso non potremo dare risposte dirette, o soddisfare richieste non di comune interesse, o che non riguardino l'ambito Internet. Ci scusiamo in anticipo con chi non dovesse ricevere una risposta a un quesito particolare.

1. Chi deve fare la notificazione?

Tutti i fornitori di accesso a Internet sono tenuti alla notificazione, perché , per le caratteristiche dell'attività esercitata, sono titolari di banche di dati personali che rientrano nelle previsioni della legge 675/96.

2. Che cosa si deve notificare?

Prima di tutto è necessario chiarire che la notificazione non riguarda le banche dati, ma i trattamenti. Se i trattamenti, come accade normalmente, sono correlati, si fa una sola notificazione per tutti i trattamenti.

3. E' necessario notificare gli elenchi di dipendenti, collaboratori, clienti e fornitori?

No (a parte il fatto che non si notificano le banche dati, ma i trattamenti), perché questi trattamenti sono esonerati dalla notificazione, se i dati sono utilizzati solo per gli scopi previsti (fiscali, retributivi, previdenziali ecc.).

4. Si deve notificare il fatto che i dati sono trasferiti all'estero?

Sì, barrando l'apposita casella nel frontespizio e inserendo le indicazioni richieste nei diversi quadri (si vedano anche le risposte alle domande n. 7, 14 e 15)

5. Quadro a) - titolare
Qual è il codice della categoria del titolare?

Sotto la casella Soggetto privato (o, se del caso, soggetto o organismo pubblico) inserire il codice 100. Dopo la denominazione o la ragione sociale scrivere l'indicazione "Servizi di telecomunicazioni - accesso a Internet".

6. Quadro b) - luoghi ove sono custoditi i dati
Che cosa bisogna fare se il server non si trova nella sede del titolare?

Indicare il luogo dove si trova il server che contiene le banche dati. Se vi sono più sedi (come nel caso dei POP che contengono l'elenco degli abbonati o i LOG), si può indicare un solo luogo dove deve essere tenuto un elenco delle sedi in cui sono custoditi i dati, che deve essere sempre aggiornato.

7. Quadro c) - Ambito di comunicazione e di diffusione dei dati
Quali caselle si devono barrare nell'elenco "Ambito soggettivo"?

Barrare le caselle clienti ed utenti e diffusione al pubblico (nel riquadro "Ambito territoriale" barrare tutte e tre le caselle).

8. Quadro d) - descrizione generale delle misure adottate per sicurezza dei dati
Quali misure sono obbligatorie?

Non essendo stato ancora emanato il regolamento, non è possibile sapere quali sono le misure minime da adottare. Quindi non resta che barrare le caselle relative alle misure effettivamente in atto, barrando, se del caso, anche la casella in alto "le misure adottate sono gradiate per classi di dati".

9. Quadro f) - responsabile
Il titolare dell'azienda è anche il responsabile del trattamento?

L'azienda è "titolare" del trattamento nella persona del suo legale rappresentante. Il titolare può (ma non è obbligato) nominare un "responsabile", le cui generalità devono essere indicate in questo quadro. Il responsabile può anche essere una struttura esterna alla quale vengono affidati i trattamenti.

10. Quadro g) - notizie volte a facilitare i rapporti con il Garante
Al punto 3 si devono indicare le categorie "preposte" ai trattamenti. Che significa?

L''indicazione non è obbligatoria e si riferisce, in pratica, a tutte le persone o le strutture che hanno accesso ai dati.

11. Quadro i.1) - finalità del trattamento
Quali sono i codici che corrispondono all'attività degli Internet provider?

Per chi fornisce accessi, inserire in una casella Altro il codice 8.50 e specificare "Servizi di telecomunicazioni - accesso a Internet". Chi fornisce contenuti può indicare (uno in ogni casella) i codici 1.8 - 7.2 - 7.3 - 7.5 - 7.8, che riguardano i casi più comuni. Nel caso di Web scolastici o universitari vanno indicati i codici 7.6 - 7.7 ed eventualmente 7.9. Per altre attività, consultare l'allegato b).

12. Quadro l) - natura dei dati oggetto del trattamento
Quali codici corrispondono ai dati che vengono trattati nell'ambito degli accessi a Internet?

Barrare la casella altri dati. Indicare nella prima casella dell'elenco il codice 53 (Nominativo, indirizzo ecc.). Se ci sono altre banche dati, ricavare i codici dall'allegato d). Per i LOG inserire il codice 100 nella casella Altro e specificare "Dati relativi alle attività telematiche".

13. Quadro m) - categorie di interessati cui si riferiscono i dati
E' necessario indicare "personale dipendente", "lavoratori autonomi" ecc.?

No, questi trattamenti sono esonerati dalla notificazione (vedi il punto 3). Nella maggior parte dei casi, per i fornitori di accessi, in questo quadro basta barrare le due caselle abbonati e clienti ed utenti, se non ci sono trattamenti che riguardano altri soggetti.

14. Quadro n) - trasferimento di dati all'estero
Con Internet i dati vanno dappertutto. Si devono elencare tutti i paesi?

C'è la possibilità di indicare le aree geografiche: nelle caselle sotto a) indicare i codici 201 - 202 - 203 - 204 - 205 - 206 - 207. Attenzione: al punto 1 barrare la casella sì, al punto 2 la casella no, se non ci sono trattamenti di dati "sensibili".

15. Quadro o) - banca o banche dati cui si riferisce il trattamento
Quali banche dati devono essere notificate?

Si devono indicare le banche dati oggetto di trattamento. Oltre all'elenco degli abbonati-clienti è necessario indicare i LOG, specificando in estrema sintesi i dati che contengono (per esempio "ora di inizio e fine dei collegamenti"). Nota: alle due domande sulla connessione con altri trattamenti è opportuno rispondere sì (due volte) se, per esempio, l'elenco degli abbonati è disponibile on-line, perché è probabile che altri soggetti compiano qualche operazione sui dati pubblicati. Per questo motivo nelle caselle devono essere nuovamente riportati i codici 201 - 202 - 203 - 204 - 205 - 206 - 207 già inseriti nel precedente quadro n).

16. Quadro p) - persone fisiche che sottoscrivono la notificazione in forma ordinaria
Che significa "qualifica e titolo in base al quale si sottoscrive la notificazione"?

Significa che si deve indicare il ruolo del notificante (di norma il titolare del trattamento) e se si tratta del titolare dell'azienda, o dell'amministratore unico ecc.

Per la spedizione o la consegna del modulo e il pagamento dei diritti di segreteria, si veda l'ultima parte delle Istruzioni per l'installazione e la compilazione del modulo in formato digitale.

17. Per chi mette in linea informazioni di interesse generale, con indirizzi e numeri vari (tipo orari di medici, associazioni, orari uffici pubblici...) ricavati da documenti pubblici, cosa va notificato?

Nulla, perché si tratta di dati conoscibili da chiunque.

18. Per i siti Web dei clienti di un provider che trattano dati oggetto di notifica, cosa deve fare il provider?

La notifica deve essere fatta dal cliente, che deve indicare il provider come responsabile o incaricato del trattamento e (se del caso) la sede del provider come luogo ove sono custoditi i dati. Il conferimento dell'incarico di trattare i dati deve avvenire per iscritto e deve contenere le opportune istruzioni.

19. Nel caso di società di persone (società in nome collettivo, in accomandita semplice ecc.), il titolare del trattamento dei dati personali è l'amministratore della società o la società stessa, anche se non ha personalità giuridica? E il responsabile dei dati chi è?

Il titolare è la società. Naturalmente la notificazione deve essere sottoscritta dal legale rappresentante. Il responsabile del trattamento è la persona designata dal titolare, ma può anche non esserci.

20. Se UserID, password e LOG sono detenuti dal provider in modo sicuro e non vengono diffusi o comunicati all'esterno, bisogna lo stesso elencare i paesi al di fuori della UE o della stessa Italia?

No. Se non si pubblica l'elenco degli utenti non c'è neanche diffusione dei dati. Al limite potrebbe addirittura non essere necessaria la notificazione, se tutti i dati restano all'interno dell'azienda e i trattamenti avvengono esclusivamente sulla base di obblighi di legge o regolamentari, o in quanto necessari per l'esecuzione del contratto.

 21.E' possibile spedire un modello fotocopiato o bisogna utilizzare solo quello rilasciato dagli uffici pubblici?

Nessuna norma vieta di inviare una fotocopia del modello predisposto dal Garante

 22. Riguardo alle informazioni che forniscono le ditte per essere inserite, in base a un contratto di realizzazione di pagine web da parte del provider, nelle pagine stesse: sono i provider i titolari del trattamento di tali informazioni? Nei quadri c), i1), e o) come devono essere indicati?

Questo tipo di trattamento non è soggetto a notificazione, perché avviene in esecuzione di un contratto.

 23. I trattamenti degli elenchi di UserID e password come devono essere indicati?

Si veda al risposta alla domanda n. 12.

 24. I termini per la presentazione delle notificazioni sono prorogati?

No, fino a questo momento (28 marzo).

 25. Quadro n): dove si devono inserire i codici nella versione digitale?

(Si veda la domanda n. 14) Niente codici nella versione digitale: si selezionano le aree geografiche che sono nell'elenco a discesa in basso a destra e si controlla che vengano automaticamente inserite nella casella inferiore.