La notificazione al Garante deve essere come noto effettuata solo
se il trattamento dei dati personali è indicato specificamente nel codice
entrato in vigore lo scorso 1° gennaio (art. 37 dlgs n. 196/2003). La
notificazione puo’ essere poi esclusa per effetto di un provvedimento di questa
Autorità che è stato già adottato lo scorso 31 marzo (provv. n. 1/2004,
pubblicato sulla Gazzetta Ufficiale 6 aprile 2004 n. 81 e sul sito web
www.garanteprivacy.it).
Si ritiene ora opportuno evidenziare altri trattamenti che non
devono essere notificati in base a una corretta interpretazione delle
disposizioni vigenti.
1) Dati genetici e biometrici (art. 37, comma 1, lett. a).
Il provvedimento n. 1/2004 ha individuato i presupposti in base ai quali non
devono essere notificati i trattamenti di tali dati effettuati da esercenti le
professioni sanitarie e da avvocati. Tale esonero, alle condizioni indicate,
opera anche nel caso in cui l’attività sia prestata in forma associata.
L’esonero opera inoltre per l’attività svolta da medici titolari di un
trattamento in materia di igiene e sicurezza del lavoro e della popolazione.
2) Posizione geografica di persone od oggetti (art. 37,
comma 1, lett. a). La norma di riferisce alla localizzazione di persone od
oggetti, ed è quindi riferita alla rilevazione della loro presenza in
determinati luoghi, mediante reti di comunicazione elettronica gestite o
accessibili dal titolare del trattamento. La localizzazione va notificata quando
permette di individuare in maniera continuativa, anche con eventuali intervalli,
l’ubicazione sul territorio o in determinate aree geografiche, in base ad
apparecchiature o dispositivi elettronici detenuti dal titolare o dalla persona
oppure collocati sugli oggetti. La localizzazione deve comunque permettere di
risalire all’identità degli interessati, anche indirettamente attraverso
appositi codici. Non devono essere quindi notificati al Garante i trattamenti di
dati personali che consentano solo una rilevazione non continuativa del
passaggio o della presenza di persone od oggetti, effettuata, per esempio,
all’atto della:
a) registrazione di ingressi o uscite presso luoghi di lavoro,
tramite tessere elettromagnetiche, codici di accesso o altri dispositivi, a meno
che, mediante la rete di comunicazione elettronica, siano possibili tracciare
gli spostamenti di interessati in determinati luoghi o aree sul territorio. non
devono essere inoltre trattati dati biometrici, perchè in tal caso la
notificazione è necessaria;
b) rilevazione di immagini o suoni, anche con impianti a circuito
chiuso, presso immobili o edifici ove si svolgono attività del titolare del
trattamento (locali commerciali, professionali o aziendali, nonchè le relative
aree perimetrali, adibite a parcheggi o a carico/scarico merci, accessi, uscite
di emergenza), a meno che, anche mediante interazione con altri sistemi, il
titolare possa rilevare le diverse ubicazioni o spostamenti di una persona o di
un oggetto in determinati luoghi o aree sul territorio;
c) lettura di carte elettroniche per fornire beni, prestazioni o
servizi quali, per esempio, carte di pagamento, carte di credito o di
fidelizzazione. I dati non devono essere peraltro rilevati con strumenti
elettronici volti ad analizzare abitudini o scelte di consumo, poichè in tal
caso la notificazione è necessaria (art. 37, comma 1, lett. d).
3) Dati sulla salute o sulla vita sessuale utilizzati per
prestare servizi sanitari per via telematica (art. 37, comma 1, lett. b). E’
tenuto alla notificazione che eroga servizi sanitari per via telematica relativi
a una banca di dati o alla fornitura di beni. Non devono essere quindi
notificati i trattamenti di dati sanitari, e/o sulla vita sessuale, effettuati
nell’ambito di servizi di assistenza o consultazione sanitaria per via
telefonica, come i servizi telefonici gestiti in ambito assicurativo e che
consentono il consulto di esercenti professioni sanitarie.
4) Dati sulla vita sessuale o sulla sfera psichica trattati da
organismi non profit (art. 37, comma 1, lett. c). Non vanno notificati al
Garante i trattamenti effettuati da associazioni, enti od organismi che non
hanno carattere politico, sindacale, religioso o filosofico, come per esempio
cooperative che svolgono attività di ricovero e assistenza a malati psichici.
Il provvedimento n. 1 del Garante, laddove esclude (punto 3) la notificazione
per i trattamenti di dati idonei a rilevare la sfera psichica di lavoratori in
materia di rapporto di lavoro e di previdenza, si riferisce anche ai casi in cui
si deve adempiere a specifici obblighi stabiliti in sede di contrattazione
collettiva e giuridicamente rilevanti in base alla normativa in materia.
5) Strumenti elettronici per profilare interessati o utenti di
servizi di comunicazione elettronica (art. 37, comma 1, lett. d). Ai fini
dell’obbligo di notificazione, gli strumenti elettronici utilizzati devono
essere configurati e impiegati per definire o valutare il profilo o la
personalità dell’interessato, oppure per analizzare le sue abitudini o scelte
di consumo. I sistemi o programmi informatici devono essere finalizzati a
registrare, elaborare o raffrontare specifiche annotazioni per studiare il
comportamento o le preferenze di singoli interessati o utenti individuati
nominativamente o identificabili anche indirettamente attraverso appositi
codici. Non devono essere quindi notificati i trattamenti di dati effettuati al
solo fine di:
a) fornire all’interessato beni, prestazioni o servizi, con
l’ausilio di strumenti elettronici finalizzati alla gestione del relativo
rapporto e dei connessi adempimenti contabili o fiscali, all’invio di eventuali
comunicazioni informative commerciali e al controllo della qualità di servizi
offerti senza procedere ad alcuna profilazione degli interessati;
b) verificare l’identità o il profilo di autorizzazione di
utenti o incaricati, nell’ambito di sistemi di autenticazione informatica o di
autorizzazione per l’accesso a dati o sistemi (per esempio, per accedere a una
banca di dati personali o a determinati contenuti di un sito web). Anche in
questo caso, se sono trattati dati biometrici, la notificazione è necessaria
(art. 37, comma 1, lett. a);
c) registrare gli accessi a un sito web, se i dati sono
memorizzati esclusivamente per il tempo tecnicamente indispensabile ai fini di
sicurezza del sistema o di elaborazione statistica in forma anonima.
6) Rilevazione del rischio sulla solvibilità economica o di
comportamenti illeciti o fraudolenti (art. 37, comma 1, lett. f). Non devono
essere notificati i trattamenti effettuati da soggetti che utilizzano banche di
dati centralizzate o sistemi informativi gestiti autonomamente da altri
soggetti, titolari del relativo trattamento, e che, pur comunicando a questi
ultimi alcuni dati personali, non hanno alcun potere decisionale in ordine alle
finalità e alle modalità del trattamento e agli strumenti utilizzati in tali
ambiti. Cio’ anche quando, per mere ragioni tecniche, una copia della banca di
dati gestita dal terzo autonomo titolare del trattamento risieda presso il
soggetto abilitato unicamente a consultarla in tale forma. Per esempio, banche,
uffici postali e società emittenti carte di pagamento non devono notificare i
trattamenti di dati effettuati nell’ambito dell’archivio informatizzato degli
assegni bancari e postali e delle carte di pagamento istituito ai sensi del dlgs
507/1999 (cosiddetta Centrale di allarme interbancaria – Cai) e gestito dalla
Banca d’Italia in qualità di titolare del trattamento (art. 10-bis, comma 2,
legge n. 386/1990; art. 1, comma 4, dm n. 458/2001). In riferimento ai casi
indicati nel provvedimento n. 1/2004 del Garante, si ritiene utile infine
precisare che:
a) non devono essere notificati (punto 6, lett. b) i trattamenti
relativi a clienti o fornitori effettuati da liberi professionisti od organismi
(per esempio, Caaf) per adempimenti fiscali (per esempio, in qualità di
intermediari necessari per presentare le dichiarazioni dei redditi) o contabili
(esempio, redazione di bilanci), oppure per svolgere investigazioni difensive o
curare la difesa in sede giudiziaria di diritti degli assistiti;
b) i trattamenti relativi alla fornitura di beni, prestazioni o
servizi (per esempio, concernenti clienti, fornitori o dipendenti) o ad
adempimenti contabili o fiscali, e che non devono essere notificati in base al
provvedimento n. 1/2004 (punto 6, lett. b), riguardano anche dati di cui sia
necessario il trattamento in sede pre-contrattuale;
c) i trattamenti relativi a obbligazioni, comportamenti illeciti
o fraudolenti che non devono essere notificati in quanto trattati solo per
adempiere a obblighi normativi in materia di rapporto di lavoro, previdenza o
assistenza (punto 6, lett. c), comprendono quelli concernenti eventuali obblighi
derivanti dalla contrattazione collettiva, giuridicamente rilevanti in base alla
normativa in materia;
d) sono sottratti all’obbligo di notificazione i soggetti
pubblici che utilizzano la banca di dati elettronica per riscuotere tributi,
applicare sanzioni amministrative o rilasciare licenze, concessioni o
autorizzazioni (punto 6, lett. d del provv. n. 1/2004). Devono invece notificare
i soggetti privati concessionari di servizi di riscossione di tributi che
esercitano le medesime attività, a meno che essi svolgano formalmente ed
effettivamente le funzioni di ´responsabile del trattamento’ per conto del
soggetto pubblico conformemente alle disposizioni vigenti su tale designazione
(art. 29 del codice);
e) non sono sottratti all’obbligo di notificazione i trattamenti
di immagini o suoni che, benchè registrati temporaneamente, siano inseriti in
apposite banche di dati elettroniche relative a comportamenti illeciti o
fraudolenti (punto 6, lett. e del provv. n. 1/2004). L’autorità resta a
disposizione per ogni ulteriore chiarimento.
Commenti
Lascia un commento Trackback