Chiarimenti sui trattamenti da notificare al Garante - 23 aprile 2004

ABI
Piazza del Gesù, 49 - Roma

ANIA
Via della Frezza, 70 - Roma

Confcommercio
Piazza G.G. Belli, 2- Roma

Confindustria
Viale dell'Astronomia, n. 30 - Roma

La notificazione al Garante deve essere come noto effettuata solo se il trattamento dei dati personali è indicato specificamente nel Codice entrato in vigore lo scorso 1° gennaio (art. 37 d.lg. n. 196/2003).

La notificazione può essere poi esclusa per effetto di un provvedimento di questa Autorità che è stato già adottato lo scorso 31 marzo (Provv. n. 1/2004, pubblicato sulla Gazzetta ufficiale 6 aprile 2004, n. 81 e sul sito web www.garanteprivacy.it).

Si ritiene ora opportuno evidenziare altri trattamenti che non devono essere notificati in base ad una corretta interpretazione delle disposizioni vigenti.

1. Dati genetici e biometrici (art. 37, comma 1, lett. a)).
Il provvedimento n. 1/2004 ha individuato i presupposti in base ai quali non devono essere notificati i trattamenti di tali dati effettuati da esercenti le professioni sanitarie e da avvocati.

Tale esonero, alle condizioni indicate, opera anche nel caso in cui l'attività sia prestata in forma associata. L'esonero opera inoltre per l'attività svolta da medici titolari di un trattamento in materia di igiene e sicurezza del lavoro e della popolazione.

2. Posizione geografica di persone od oggetti (art. 37, comma 1, lett. a)).
La norma si riferisce alla localizzazione di persone o oggetti, ed è quindi riferita alla rilevazione della loro presenza in determinati luoghi, mediante reti di comunicazione elettronica gestite o accessibili dal titolare del trattamento.

La localizzazione va notificata quando permette di individuare in maniera continuativa -anche con eventuali intervalli- l'ubicazione sul territorio o in determinate aree geografiche, in base ad apparecchiature o dispositivi elettronici detenuti dal titolare o dalla persona oppure collocati sugli oggetti.

La localizzazione deve comunque permettere di risalire all'identità degli interessati, anche indirettamente attraverso appositi codici.

Non devono essere quindi notificati al Garante i trattamenti di dati personali che consentano solo una rilevazione non continuativa del passaggio o della presenza di persone o oggetti, effettuata, ad esempio, all'atto della:

a) registrazione di ingressi o uscite presso luoghi di lavoro, tramite tessere elettromagnetiche, codici di accesso o altri dispositivi, a meno che, mediante la rete di comunicazione elettronica, sia possibile tracciare gli spostamenti di interessati in determinati luoghi o aree sul territorio. Non devono essere inoltre trattati dati biometrici, perché in tal caso la notificazione è necessaria;

b) rilevazione di immagini o suoni, anche con impianti a circuito chiuso, presso immobili o edifici ove si svolgono attività del titolare del trattamento (locali commerciali, professionali o aziendali, nonché le relative aree perimetrali, adibite a parcheggi o a carico/scarico merci, accessi, uscite di emergenza), a meno che, anche mediante interazione con altri sistemi, il titolare possa rilevare le diverse ubicazioni o spostamenti di una persona o di un oggetto in determinati luoghi o aree sul territorio;

c) lettura di carte elettroniche per fornire beni, prestazioni o servizi quali, ad esempio, carte di pagamento, carte di credito o di fidelizzazione. I dati non devono essere peraltro rilevati con strumenti elettronici volti ad analizzare abitudini o scelte di consumo, poiché in tal caso la notificazione è necessaria (art. 37, comma 1, lett. d)).

3. Dati sulla salute o sulla vita sessuale utilizzati per prestare servizi sanitari per via telematica (art. 37, comma 1, lett. b)).
É tenuto alla notificazione chi eroga servizi sanitari per via telematica relativi ad una banca di dati o alla fornitura di beni.

Non devono essere quindi notificati i trattamenti di dati sanitari -e/o sulla vita sessuale- effettuati nell'ambito di servizi di assistenza o consultazione sanitaria per via telefonica, come i servizi telefonici gestiti in ambito assicurativo e che consentono il consulto di esercenti professioni sanitarie.

4. Dati sulla vita sessuale o sulla sfera psichica trattati da organismi no-profit (art. 37, comma 1, lett. c)).
Non vanno notificati al Garante i trattamenti effettuati da associazioni, enti od organismi che non hanno carattere politico, sindacale, religioso o filosofico, come ad esempio cooperative che svolgono attività di ricovero e assistenza a malati psichici.

Il provvedimento n. 1 del Garante, laddove esclude (punto 3) la notificazione per i trattamenti di dati idonei a rivelare la sfera psichica di lavoratori in materia di rapporto di lavoro e di previdenza, si riferisce anche ai casi in cui si deve adempiere a specifici obblighi stabiliti in sede di contrattazione collettiva e giuridicamente rilevanti in base alla normativa in materia.

5. Strumenti elettronici per profilare interessati o utenti di servizi di comunicazione elettronica (art. 37, comma 1, lett. d)).
Ai fini dell'obbligo di notificazione, gli strumenti elettronici utilizzati devono essere configurati e impiegati per definire o valutare il profilo o la personalità dell'interessato, oppure per analizzare le sue abitudini o scelte di consumo. I sistemi o programmi informatici devono essere finalizzati a registrare, elaborare o raffrontare specifiche annotazioni per studiare il comportamento o le preferenze di singoli interessati od utenti individuati nominativamente o identificabili anche indirettamente attraverso appositi codici.

Non devono essere quindi notificati i trattamenti di dati effettuati al solo fine di:

a) fornire all'interessato beni, prestazioni o servizi, con l'ausilio di strumenti elettronici finalizzati alla gestione del relativo rapporto e dei connessi adempimenti contabili o fiscali, all'invio di eventuali comunicazioni informative commerciali e al controllo della qualità di servizi offerti senza procedere ad alcuna profilazione degli interessati;

b) verificare l'identità o il profilo di autorizzazione di utenti o incaricati, nell'ambito di sistemi di autenticazione informatica o di autorizzazione per l'accesso a dati o sistemi (ad esempio, per accedere ad una banca di dati personali o a determinati contenuti di un sito web). Anche in questo caso, se sono trattati dati biometrici la notificazione è necessaria (art. 37, comma 1, lett. a));

c) registrare gli accessi ad un sito web, se i dati sono memorizzati esclusivamente per il tempo tecnicamente indispensabile ai fini di sicurezza del sistema o di elaborazione statistica in forma anonima.

6. Rilevazione del rischio sulla solvibilità economica o di comportamenti illeciti o fraudolenti (art. 37, comma 1, lett. f)).
Non devono essere notificati i trattamenti effettuati da soggetti che utilizzano banche di dati centralizzate o sistemi informativi gestiti autonomamente da altri soggetti -titolari del relativo trattamento- e che, pur comunicando a questi ultimi alcuni dati personali, non hanno alcun potere decisionale in ordine alle finalità e alle modalità del trattamento e agli strumenti utilizzati in tali ambiti. Ciò anche quando, per mere ragioni tecniche, una copia della banca di dati gestita dal terzo autonomo titolare del trattamento, risieda presso il soggetto abilitato unicamente a consultarla in tale forma.

Ad esempio, banche, uffici postali e società emittenti carte di pagamento non devono notificare i trattamenti di dati effettuati nell'ambito dell'archivio informatizzato degli assegni bancari e postali e delle carte di pagamento istituito ai sensi del d.lg. n. 507/1999 (c.d. Centrale di allarme interbancaria-CAI) e gestito dalla Banca di Italia in qualità di titolare del trattamento (art. 10-bis, comma 2, l. n. 386/1990; art. 1, comma 4, d. m. n. 458/2001).

In riferimento ai casi indicati nel provvedimento n. 1/2004 del Garante, si ritiene utile infine precisare che:

a) non devono essere notificati (punto 6, lett. b)) i trattamenti relativi a clienti o fornitori effettuati da liberi professionisti od organismi (es.: CAAF) per adempimenti fiscali (ad es., in qualità di intermediari necessari per presentare le dichiarazione dei redditi) o contabili (es.: redazione di bilanci), oppure per svolgere investigazioni difensive o curare la difesa in sede giudiziaria di diritti degli assistiti;

b) i trattamenti relativi alla fornitura di beni, prestazioni o servizi (ad esempio, concernenti clienti, fornitori o dipendenti) o ad adempimenti contabili o fiscali, e che non devono essere notificati in base al provvedimento n. 1/2004 (punto 6, lett. b)), riguardano anche dati di cui sia necessario il trattamento in sede pre-contrattuale;

c) i trattamenti relativi ad obbligazioni, comportamenti illeciti o fraudolenti che non devono essere notificati in quanto trattati solo per adempiere ad obblighi normativi in materia di rapporto di lavoro, previdenza o assistenza (punto 6, lett. c)), comprendono quelli concernenti eventuali obblighi derivanti dalla contrattazione collettiva, giuridicamente rilevanti in base alla normativa in materia;

d) sono sottratti all'obbligo di notificazione i soggetti pubblici che utilizzano la banca di dati elettronica per riscuotere tributi, applicare sanzioni amministrative o rilasciare licenze, concessioni o autorizzazioni (punto 6, lett. d) del provv. n. 1/2004). Devono invece notificare i soggetti privati concessionari di servizi di riscossione di tributi che esercitano le medesime attività, a meno che essi svolgano formalmente ed effettivamente le funzioni di "responsabile del trattamento" per conto del soggetto pubblico conformemente alle disposizioni vigenti su tale designazione (art. 29 del Codice);

e) non sono sottratti all'obbligo di notificazione i trattamenti di immagini o suoni che, benché registrati temporaneamente, siano inseriti in apposite banche di dati elettroniche relative a comportamenti illeciti o fraudolenti (punto 6, lett. e) del provv. n. 1/2004).

L'Autorità resta a disposizione per ogni ulteriore chiarimento.

IL SEGRETARIO GENERALE
Giovanni Buttarelli