Banche dati e notifiche al Garante

di Andrea Lisi e Maurizio De Giorgi - Si accende il dibattito su una questione fonte di stress per le imprese: il rispetto della privacy e le notifiche al Garante. Un obbligo non generalizzato. Il quadro

Roma - Verso le 7.30 di ieri mattina come ogni giorno abbiamo acquistato la solita copia di Italia Oggi e subito ci è scivolato lo sguardo, ancora sonnecchiante, su una notizia in bell'evidenza in prima pagina: "La Privacy stressa le imprese. Obbligo di notifica. Da ripetere entro aprile. La gestione della banca dati dei clienti costringe all'adempimento"!
Sotto accusa la lett. f) dell'art. 37 del cosiddetto Codice della Privacy (D.lgs. 196/2003). Condanna: "fa rientrare nell'obbligo di notificazione tendenzialmente tutte le imprese e gli altri soggetti economici".

È questo in estrema sintesi il contenuto di un intervento che ci induce a qualche (più pacata) riflessione sul tema della notificazione al Garante, adempimento previsto dagli articoli 37 e 38 del decreto legislativo n. 196/2003?ci sia consentito di dire che a volte si esagera un po' con il "sensazionalismo", provocando un certo (forse inconsapevole) "terrorismo psicologico" in tema di privacy (anche se si sa bene che i titoloni sui giornali non vengono inseriti dagli autori degli articoli e non sempre coincidono con il reale contenuto degli stessi).

Non appaiono per nulla condivisibili, infatti, le conclusioni cui giunge A. Ciccia, autore del citato intervento (e comunque stimato professionista molto attento a queste tematiche), in quanto mal si conciliano con la mens legis e, infatti, si finisce per porre a carico delle imprese l'onere di ottemperare ad obblighi in realtà previsti solo per specifiche ipotesi e non già in via generale.
Punto di partenza del nostro argomentare è la consapevolezza di una sorta di inversione di rotta del legislatore in tema di notificazione al Garante. Dal dettato dell'art. 7 della ormai abrogata legge 675/96 all'art. 37 del Codice l'obbligo della notificazione, infatti, ha completamente mutato la sua fisionomia passando da 'regolà ad 'eccezionè secondo un divenire progressivo - dettato nel corso degli anni da un legislatore attento alle critiche da più parti mosse al citato art. 7 della legge n. 675/96 - che è passato attraverso il decreto legislativo 255/97, prima, e il decreto legislativo 467/01, poi.

A ben vedere su questo punto si può dire vi sia concordia in dottrina e persino comunione di veduta da parte nostra con quanto riportato nell'articolo di ItaliaOggi ove correttamente si afferma "con il codice della privacy solo chi effettua uno dei trattamenti indicati nell'art. 37 citato è obbligato a notificare. Tutti gli altri sono esonerati. L'obiettivo è quello di ridurre al minimo indispensabile questo adempimento e in particolare riservandolo ai casi di maggiore pericolo per le ragioni di tutela della riservatezza".

Alla luce di queste premesse occorre sciogliere il nodo interpretativo che in questa sede ci occupa (e preoccupa!), ovvero analizzare contenuto e limiti della lett. f) del menzionato art. 37.

La norma testualmente recita "Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda: ? f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti".

Da tale disposto normativo deriverebbe, secondo l'analisi fornita dall'autore dell'intervento apparso su ItaliaOggi, l'obbligo "a notificare e rinotificare i trattamenti di dati gestiti con strumenti elettronici relativi all'adempimento di obbligazioni. Rientra in questa categoria per esempio la banca dati clienti, gestita da un'impresa al fine di verificare se sono state onorate le fatture o comunque pagati i corrispettivi".

Sia consentito a chi scrive dissentire da questa interpretazione e, quindi, ricostruire l'esatto significato della norma aderendo a quella corrente dottrinale ( cfr. S. Orlandi, Gli adempimenti per i titolari dei trattamenti, in R. Acciai, Il diritto alla protezione dei dati personali, Maggioli ed. 2004, 197) che ne limita l'operatività alle cosidette "centrali rischi" intese come "banche dati negative o liste nere, in quanto registrano soltanto dati personali relativi a morosità o altre situazioni ritenute meritevoli di annotazione, unitamente alla segnalazione di sofferenze o dell'esistenza di azioni legali, procedure concorsuali o cessioni del credito a terzi", ovvero che "gestiscono ? sistemi di tipo positivo/negativo, raccogliendo informazioni sul rapporto di finanziamento, a partire dalla richiesta dell'interessato, indipendentemente dalla sussistenza di inadempimenti, per incentivare gli operatori finanziari ad una valutazione più ampia del rischio creditizio sulla base dell'osservazione di diversi comportamenti e situazioni personali del richiedente" (tali definizioni sono tratte dal Provvedimento del 31 luglio 2002 del Garante per la protezione dei dati personali rinvenibile sul sito www.garanteprivacy.it).

In questi casi sussiste l'obbligo della notificazione perché si tratta di particolari tipologie di dati - si pensi in particolare a quelli contenuti nelle cd. liste nere - che rivestono una natura particolarmente delicata alla luce delle gravissime conseguenze che ne deriverebbero al verificarsi di errori o inesattezze.

Non solo. Perché tale obbligo possa dirsi effettivamente operativo occorre anche la contestuale presenza di tutti gli elementi previsti dalla norma (S. Orlandi, cit., 212) e, quindi, l'esistenza di una banca dati, la sua gestione elettronica ed ovviamente il trattamento elettronico dei menzionati dati.

Infine, vale la pena ricordare che se è vero che la lett. f) fa riferimento ai "dati registrati" e non ai soli dati "sensibili" registrati - al contrario di quanto previsto dalla precedente lett. e) - tuttavia non può passare inosservata la qualificazione attribuita alle stesse banche dati. Infatti, la lettera della norma in proposito è piuttosto chiara: il legislatore fa riferimento a dati registrati in "apposite" banche dati, termine quest'ultimo che vale ad escludere l'operatività della norma in parola in tutti quei casi in cui sia solo occasionale il trattamento di dati inerenti alla solvibilità, e più in generale alle capacità economiche, del debitore.

Per questi motivi non appare corretto dire "vi è da chiedersi ? se la banca dati apposita in cui si conservano i dati personali relativi al pagamento dei corrispettivi da parte dei propri clienti non integri proprio un caso fra quelli astrattamente previsti" per poi concludere, come si fa nell'articolo commentato, in senso positivo, perché in tal modo si dilata il significato del termine "apposite" fino a comprometterne la portata.

Sono da ritenersi "apposite" banche dati contenenti le informazioni sulla situazione patrimoniale dei debitori solo quelle proprie di titolari che facciano di tali banche l'oggetto precipuo della propria attività commerciale
.
Insomma, non è pensabile che la legge chiami ad ottemperare all'obbligo della notificazione ogni singolo commerciante che conservi dati inerenti ai suoi clienti che lo debbano, per esempio, pagare ratealmente; in fin dei conti ogni impresa, ed ogni studio professionale, conserva (per ovvie ragioni contabili) quelle informazioni previste nella lettera f) dell'art. 37, ma non si tratta di certo di informazioni contenute in "apposite" banche dati.

Inoltre, occorre ricordare che già nella vecchia normativa, (quando vi era un obbligo generalizzato di notificazione) il trattamento di dati non era soggetto a notificazione quando (secondo l'art. 7 comma 5-ter lett. e) esso era finalizzato unicamente all'adempimento di specifici obblighi contabili. E sarebbe veramente poco chiara e difficilmente comprensibile una inversione di tendenza in tal senso da parte del nostro legislatore con il nuovo Codice! Addirittura gli stretti dati contabili relativi ad un rapporto commerciale in atto, a nostro avviso, potrebbero ricadere nell'esenzione dell'obbligo di acquisizione del previo consenso espresso, ai sensi delle lettere a) e b) dell'art. 24 comma primo, dove si dice espressamente: ". Il consenso non è richiesto, oltre che nei casi previsti nella Parte II, quando il trattamento:

a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;
b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato (?)". Né può ragionevolmente sostenersi che il legislatore da una parte ritenga le imprese esentate dall'obbligo di richiedere il consenso espresso e dall'altra ritenga però necessaria la notificazione!

Un ulteriore rilievo deve essere poi appuntato all'articolo di cui si discute. Il riferimento è all'inciso secondo il quale le aziende sarebbero chiamate "a ripetere entro il 30 aprile 2004 la notificazione fatta a suo tempo" : anche in questo caso si tratta di una conclusione non condivisibile.

Principio generale da cui occorre partire è quello secondo il quale la notificazione deve essere eseguita prima che inizi il trattamento dei dati ed una sola volta, a prescindere dal numero delle operazioni e della durata del trattamento da effettuare, e può anche riguardare uno o più trattamenti con finalità correlate: ciò valeva prima dell'entrata in vigore del codice della privacy e vale ancora oggi.

L'obbligo di rinotificare sorge solo in due espresse ipotesi previste dalla legge: 1) anteriormente alla cessazione del trattamento; 2) anteriormente al mutamento di taluno degli elementi da indicare nella notificazione medesima (art. 38 del codice).

Infine, l'art. 181 (rubricato Altre disposizioni transitorie) secondo il quale "Per i trattamenti di dati personali iniziati prima del 1 gennaio 2004, in sede di prima applicazione del presente codice: ?c) le notificazioni previste dall'articolo 37 sono effettuate entro il 30 aprile 2004" va interpretato nel senso di ritenere che "per le attività che erano già in essere prima del 1° gennaio 2004, la notificazione si può effettuare entro il 30 aprile 2004"

Quindi, il termine del 30 aprile 2004 è da considerarsi termine massimo entro il quale chi abbia iniziato un'attività senza il rispetto dell'obbligo della previa notificazione può regolarizzare la propria posizione. Non si tratta quindi di un obbligo generalizzato.

Dopo queste brevi note ci sembra giusto riferire che il quadro normativo dettato con il decreto legislativo n. 196/03, sin dalle sue prime letture dottrinali si sta dimostrando piuttosto complesso ed articolato, originando (non di rado) veri e propri scontri interpretativi alimentati anche dall'incertezza connessa all'assenza di un consolidato orientamento giurisprudenziale.

A questo proposito si possono sollevare ragionevoli dubbi sulla scelta del legislatore di aver escluso dal novero degli strumenti attraverso i quali è possibile effettuare la notificazione il tradizionale invio con plico per raccomandata a/r (previsto dall'art. 7 l. n. 675/96) favorendo il solo invio telematico, utilizzando il modello predisposto dal Garante e osservando le prescrizioni da questi impartite anche per quanto riguarda le modalità di sottoscrizione con firma digitale e di conferma del ricevimento della notificazione (comunque, il Garante potrà individuare altro idoneo sistema per la notificazione in riferimento a nuove soluzioni tecnologiche previste dalla normativa vigente).

Il tradizionale strumento della raccomandata a/r certamente avrebbe portato a più complesse operazioni di archivio da parte del Garante ma, al contempo, si sarebbe tradotto in una misura più economica per quegli operatori tenuti realmente all'obbligo in parola e ancora sprovvisti di firma digitale.

Altrettanto foriera di dubbi interpretativi risulterà, a nostro avviso, la lettera d) dell'art. 37 secondo la quale sussiste l'obbligo di notificazione in caso di "dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti". Secondo alcuni l'obbligo andrebbe a ricadere su "chi si avvale di strumenti elettronici per la profilazione del consumatore (si pensi al sito aziendale che rilasci cookies)" (L. Giacopuzzi - Il rispetto della privacy per l'impresa in rete).

A nostro avviso, in questo "periodo transitorio di rodaggio" della nuova disciplina occorre evitare di esasperare l'interpretazione di alcune norme che, almeno nello spirito, sono state pensate per semplificare e diminuire gli obblighi burocratici che erano previsti in capo alle imprese con la vecchia legge 675/96; in ogni caso il dibattito in corso è sintomatico delle molte difficoltà con cui si deve confrontare l'interprete a causa di una normazione che molte, troppe volte, continua ad essere farraginosa (si pensi al rebus rappresentato dalla disciplina della redazione del documento programmatico sulla sicurezza? ma questo è un altro capitolo e rimandiamo alle nostre considerazioni contenute nell'articolo Documento Programmatico per la Sicurezza: rompicapo o risorsa aziendale?).

Per concludere, se è vero che qualsiasi norma (per la gioia di noi avvocati) può essere liberamente interpretata e può prestarsi alle più elastiche applicazioni, non per questo si possono associare alla lettera f) dell'art. 37 significati certamente non voluti, né immaginati dal legislatore, perché ciò significherebbe travalicare uno dei compiti primari di noi giuristi e, cioè, scavare nelle (a volte troppo) ambigue pieghe del tessuto normativo al fine di scovarne la natura teleologica.

Andrea Lisi (*)
Maurizio De Giorgi (**)


(*) Avvocato in Lecce, Studio Legale Lisi. Titolare, con il dr. Davide Diurisi, dello Studio associato D.&L., consulenza ICT&International Trade. Curatore del portale www.scint.it. Autore di numerose pubblicazioni in materia di diritto del commercio internazionale e diritto delle nuove tecnologie. Direttore Scientifico del Corso di Alta Formazione in Diritto&Economia del Commercio Elettronico Internazionale.

(**) Avvocato in Lecce, Studio Legale Lisi. Collabora con il Centro Studi&Ricerche SCiNT. Autore di numerosi saggi giuridici di approfondimento pubblicati on-line su diversi siti. Coautore con l'avv. Lisi del volume "Guida al codice della privacy", Simone ed. 2003.
8 Commenti alla Notizia Banche dati e notifiche al Garante
Ordina
  • Se ho un sito che gestisce curricula e l'accesso delle aziende agli stessi, sono obbligato a fare la comunicazione al garante ?
    non+autenticato
  • > La norma testualmente recita "Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda: ? f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti".

    E che vuol dire?

    Su http://www.testounicoprivacy.it/articoli.php leggo:

    "L'obbligatorietà dell'adeguamento alla nuova normativa coinvolge tutti coloro che per l'espletamento della loro attività trattano dati personali: enti pubblici, liberi professionisti, aziende, comuni, scuole, ospedali, cooperative e associazioni. Sono in pratica escluse dall'adeguamento alla nuova legge solo le persone fisiche che intendano effettuare il trattamento di dati personali per soli fini personali e, in nessun caso, prevedano la cessione o la comunicazione dei dati in loro possesso a terzi. Il Codice stabilisce adempimenti diversi a seconda della tipologia di azienda e dei dati trattati. ..."

    Su P.I. http://punto-informatico.it/p.asp?i=46346 leggo:

    "L'autorità per la Privacy avverte che i servizi che forniscono via internet consulenze esperte devono seguire regole precise se vogliono operare nella legalità e non rischiare sanzioni.
    ...

    Nel caso poi che la domanda e la risposta dovessero essere inserite, previo consenso dell'utente, negli spazi consultabili liberamente dal pubblico (ad esempio in una rubrica delle domande più frequenti, faq) - continua il Garante - la società dovrà altresì verificare prima della loro pubblicazione che, oltre al nome e all'indirizzo e-mail dell'interessato, non vi siano altri dati, anche diversi da quelli sensibili, che possano rendere identificabile l'interessato.
    ...

    Gli esperti on line dovranno anche controllare che nelle risposte pubblicate non vi sia nessun elemento che permetta di risalire all'identità della persona che ha richiesto la consulenza ..."

    E che vuol dire? Che io responsabile di un sito di consulenze online devo stare 24 ore su 24 a monitorare le domande degli utenti e le risposte dei consulenti? Ma dai! Siamo al ridicolo! Assurdo!

    A mio avviso la nuova normativa per come è impostata non è applicabile.

    non+autenticato
  • ...ehm, il link del garante o non e' corretto o il sito ha problemi perche' mi risulta irrangiungibile!Triste
    non+autenticato

  • - Scritto da: Anonimo
    > ...ehm, il link del garante o non e'
    > corretto o il sito ha problemi perche' mi
    > risulta irrangiungibile!Triste

    Oggi il sito del Garante e' in manutenzione, per quello non funge
    non+autenticato
  • nuova normativa, anche non giurista. a volte sembra proprio che si voglia informare sì, ma non troppo, non più di tanto.....
    non+autenticato
  • ho gia letto diversi articoli di lisi e de giorgi e devo dire che concordo con le loro interpretazioni, anzi mi hanno aiutato a meglio definire alcuni apsetti legali dipendenti dal testo unico.
    tnk
    non+autenticato
  • Bisogna poi vedere come interpreta il giudice in una eventuale causa.
    non+autenticato
  • sì..ma di solito i giudici non rasentano la pazzia e cercano di capire quale è la "ratio legis"!A bocca aperta
    In ogni caso quando una normativa è oscura di solito interviene il Garante a chiarire le cose...anche se tante volte ci si dimentica che il Garante non è nè un Giudice nè un legislatore!Sorride
    non+autenticato