|
Prima parte
Seconda parte
Trattamento effettuato con l'ausilio di strumenti elettronici volti a
definire il profilo o la personalità dell'interessato, o ad analizzare
abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di
comunicazione elettronica con l'esclusione dei trattamenti tecnicamente
indispensabili per fornire i servizi medesimi agli utenti
Il provvedimento del Garante ha sottratto all'obbligo di notificazione due
trattamenti molto diffusi, che avrebbero interessato moltissimi soggetti: 1)
definizione di profili professionali per finalità di occupazione e 2)
definizione di profili di investitori da parte di intermediari finanziari in
esecuzione di specifici regolamenti (Consob). Ciò non di meno, potrebbe
risultare ancora ampio il novero delle ipotesi che rientrano nella lettera d),
tanto che un numero rilevante d'imprese si domanda se dovrà procedere o meno
alla notificazione, giusto l'obiettivo (dichiarato dal legislatore) di ridurre
al minimo tale onere.
Osservato preliminarmente che il codice non fornisce una definizione di profilo
dell'interessato né di analisi delle abitudini o scelte di consumo,
e che quindi risulta più difficoltoso interpretare la disposizione, anche in
questo caso conviene valutare il contenuto delle tabelle per ottenere qualche
elemento di chiarimento.
Ebbene, considerato che:
- quanto alle categorie di dati, esse
individuano un insieme ampio, tra cui dati relativi allo svolgimento di
attività economiche e informazioni commerciali (es. fatturato, bilanci, aspetti
economici, finanziari, organizzativi, produttivi, industriali, commerciali,
imprenditoriali);
- quanto alle categorie di interessati cui si
riferiscono i dati, esse individuano un novero molto ampio di soggetti
interessati che comprende, tra l'altro, persone giuridiche, fisiche, consumatori,
clienti o utenti;
- quanto alle finalità, esse individuano con
ipotesi molto ampia attività commerciale, creazione di profili
professionali relativi a clienti o consumatori, analisi delle abitudini o
scelte di consumo, fornitura di beni e servizi;
- quanto alle modalità, esse individuano la definizione
di profili dell'interessato solo come aggiuntiva ed ulteriore rispetto a raccolta
e soprattutto organizzazione in banche dati in forma prevalentemente
automatizzata o addirittura organizzazione in banche dati in forma
prevalentemente non automatizzata,
a prima vista sembrerebbe che anche la mera attività di raccolta ed
organizzazione di informazioni commerciali relative a propri clienti e fornitori
rientrerebbe nella fattispecie in oggetto, e quindi sarebbe soggetta a
notificazione, a patto che sia effettuata mediante l'ausilio di strumenti
elettronici. Tale conclusione appare tuttavia eccessiva.
Potrebbe forse sorgere il dubbio che l'espressione della lettera d), dell'art.
37 del codice, dati trattati con l'ausilio di strumenti elettronici volti a
definire il profilo o la personalità dell'interessato, o ad analizzare
abitudini o scelte di consumo implichi la presenza di un quid in più
del mero trattamento elettronico, della mera memorizzazione delle informazioni
commerciali in archivi elettronici (files), anche tra loro non coordinati
(di fatto slegati tra loro), e che sia, invece, richiesta una vera e propria applicazione
informatica che fornisca come output il profilo dell'interessato
o l'analisi delle abitudini e scelte di consumo. Tale quid
aggiuntivo richiesto potrebbe essere ravvisato qualora si ritenesse che l'espressione
volti a definire il profilo o la personalità dell'interessato, o ad
analizzare abitudini o scelte di consumo sia riferita non ai dati,
bensì agli strumenti elettronici.
Accedendo a tale interpretazione, è evidente, si eviterebbe la notificazione
per un numero molto ampio di soggetti (imprese) i quali trattano sì dati di
soggetti (clienti, fornitori), tuttavia semplicemente raccogliendo e
memorizzando informazioni, senza l'ausilio di un vero e proprio sistema
automatizzato in grado di produrre profili degli interessati.
Ed in effetti, tale interpretazione potrebbe trovare conferma se si considerano
attentamente le espressioni utilizzate nel provvedimento del Garante ai fini d'individuazione
dei trattamenti sottratti all'obbligo di notificazione. Il Garante, infatti,
alle lettere a) e b) del punto 4) stabilisce l'esonero dalla notificazione per
i trattamenti di dati personali che non siano fondati unicamente su un trattamento
automatizzato volto a definire profili professionali, effettuati per
esclusive finalità di occupazione o di gestione del rapporto di lavoro .
ovvero per i trattamenti di dati personali che non siano fondati unicamente
su un trattamento automatizzato volto a definire il profilo di un
investitore..
Da un lato, sembrerebbe subito da escludere che il Garante abbia inteso
riferirsi, al fine dell'esonero, anche alla contemporanea presenza di
trattamenti senza l'ausilio di strumenti elettronici, dato che la
lettera d), dell'art 37 del codice, è riferita esclusivamente a trattamenti
effettuati con l'ausilio di strumenti elettronici, e quindi non avrebbe molto
senso una simile ipotesi.
D'altro lato, è indubbio che il Garante ha utilizzato l'espressione trattamenti
automatizzati mentre la lettera d), dell'art. 37 del codice, utilizza l'espressione
dati trattati con l'ausilio di strumenti elettronici. Dato che vi è
una differenza, e considerato che l'esonero non sarebbe applicabile nel caso
in cui il trattamento riguardasse o "categorie di interessati" o
"finalità" differenti, o eccedenti, rispetto a quelle elencate, a
questo punto sembrerebbe corretto interpretare l'espressione che non siano
fondati unicamente su un trattamento automatizzato nel senso di prevedere l'obbligo
di notificazione per i soli casi in cui sia operante un vero e proprio sistema
automatizzato che produce profili di individui. Diversamente, sarebbe difficile
trovare un senso compiuto all'espressione utilizzata a fini d'esonero.
Ed in effetti, ad ulteriore conferma, occorre notare come anche l'art. 14
del codice, che disciplina la "definizione di profili e della personalità
dell'interessato" parla di trattamento automatizzato di
dati personali volto a definire il profilo o la personalità dell'interessato.
Ora, se è vero che l'esonero è previsto solo per specifiche categorie di
interessati e finalità di trattamento (quelle indicate alle lettere
a) e b) del punto 4) del provvedimento del Garante), nonostante la presenza di
un "trattamento automatizzato", allora si può concludere, per logica
conseguenza, che 1) per il caso di trattamenti che dovessero riguardare, o
comprendere anche, altre categorie di interessati e/o finalità di
trattamento (ovviamente) l'esonero non vale; ma anche, argomentando a
contrariis, che 2) in assenza di un vero e proprio "trattamento
automatizzato" (vale a dire di un quid elaborativo in più rispetto
al mero trattamento con l'ausilio di strumenti elettronici), l'obbligo di
notificazione non è dovuto, dato che, in via interpretativa, non si
rientrerebbe nella fattispecie prevista dalla lettera d) dell'art. 37 del
codice.
Se queste considerazioni sono valide, ne consegue che in tutti i casi in cui
vengono raccolti e trattati dati commerciali, ad esempio di clienti e fornitori,
e ciò mediante l'ausilio di strumenti elettronici, senza tuttavia la presenza
di un vero e proprio trattamento automatizzato per mezzo di apposito sistema di
generazione profili, allora non sarà dovuta la notificazione ai sensi della
lettera d). Naturalmente, l'obbligo di notificazione sarà dovuto, viceversa,
per il caso in cui il titolare si avvalga di un sistema automatizzato (quid
pluris) per la generazione dei profili (non essendo operante, al di fuori
delle ipotesi descritte, l'esonero concesso dal Garante).
Trattamento di dati registrati in apposite banche di dati gestite con
strumenti elettronici e relative al rischio sulla solvibilità economica, alla
situazione patrimoniale, al corretto adempimento di obbligazioni, a
comportamenti illeciti o fraudolenti
Fortunatamente il provvedimento del Garante ha sottratto all'obbligo della
notificazione ben sei fattispecie di trattamento di dati personali rientranti
nelle ipotesi in commento e, tra queste, anche quella che maggiormente
preoccupava le imprese e gli imprenditori. In effetti, analizzando il contenuto
delle tabelle sembrava ineluttabile concludere per l'obbligo di notificazione
per qualunque soggetto che avesse anche solo strumenti minimi di controllo delle
fatture emesse e dei crediti di fornitura non ancora estinti.
La formulazione adottata da Garante appare ampia e rassicurante, anche se il
testo letterale appare non del tutto logico. Dispone, infatti, che non rilevano,
e quindi non sono soggetti a notificazione, i trattamenti di dati personali
registrati in banche di dati utilizzate in rapporti con l'interessato di
fornitura di beni, prestazioni o servizi, o per adempimenti contabili o fiscali,
anche in caso di inadempimenti contrattuali, azioni di recupero del credito e
contenzioso con l'interessato.
La definizione non specifica la natura del rapporto, tuttavia concordo che
appare superfluo dato che non potrebbe altro trattarsi che di rapporti di natura
contrattuale o derivanti da atto unilaterale.
Piuttosto, rilevo che viene effettuata una distinzione tra rapporti di
fornitura e adempimenti contabili o fiscali. Ciò legittima l'interpretazione
che il beneficio si estenda anche a chi effettua trattamenti per fini contabili
o fiscali senza avere rapporto con l'interessato. Anche ciò appare logico e
sensato.
Qualche dubbio desta la parte finale anche in caso di inadempimenti
contrattuali, azioni di recupero del credito e contenzioso con l'interessato.
Dato che è stata individuata l'ipotesi principale del rapporto con l'interessato
per la fornitura di beni, prestazioni o servizi (tripartizione singolare,
giacché di solito ci si riferisce a "fornitura di beni" o
"prestazione di servizi" ed è difficile immaginare la "fornitura
di prestazioni"), ipotesi che include ogni possibile ulteriore attività
conseguente o derivata, non si comprende il senso della specificazione
estensiva. L'uso della parola "anche" esclude categoricamente che le
ipotesi in questione possano essere considerate autonomamente. Anche perché, in
tale ipotesi, sarebbe, ad esempio, esonerata l'attività (eventuale e
susseguente) di vero e proprio recupero del credito, o contenziosa, mentre
"scatterebbe" paradossalmente l'obbligo di notifica alla preventiva
e naturale attività di mero controllo delle poste in scadenza, secondo la
normale prassi commerciale. Preferisco concludere che si tratta d'espressione
pleonastica ed irrilevante, ed osservo che sarebbe preferibile, in testi che
modificano la portata di norme primarie, maggiore chiarezza.
|
Pagina stampabile
