Un obbligo la rinotifica al Garante?

di Avv. Giancarlo Barbon (www.lidis.it) - Dopo la proroga al 15 maggio in molti continuano a chiedersi chi come e perché debba effettuare la rinotifica del trattamento dei dati personali. Il quadro della situazione

Roma - Dopo pochi giorni dalla scadenza del termine (30 aprile) previsto dal nuovo Codice sulla Privacy per effettuare la notifica del trattamento dei dati personali al Garante, e la comparsa sul sito del Garante di un avviso dell'ultima ora - che, sostanzialmente, consente, a chi si trovi in difficoltà nel completare la notifica per via telematica entro il 30 aprile (causa soprattutto l'intenso traffico telematico sul sito del Garante), di completare ed inviare le notifiche entro le ore 24 del giorno 15 maggio 2004 - molte aziende e privati si chiedono, con l'acqua alla gola, se l'obbligo della notificazione debba essere ottemperato nuovamente anche da parte dei titolari del trattamento che abbiano già effettuato la notificazione sotto il vigore della legge n. 675/96.

Un'esaustiva risposta a tale domanda, che metta a tacere definitivamente le diverse chiacchiere sragionate sull'argomento, frutto spesso della concitazione del momento e delle giustificate preoccupazioni dei soggetti interessati, presuppone una conoscenza ed un'analisi giuridica approfondita della nuova normativa in tema di privacy, e si porta dietro una serie di conseguenze non certo irrilevanti sotto diversi profili, in primis per i titolari del trattamento dei dati personali, ovvero per coloro che sarebbero (o sarebbero stati) eventualmente tenuti a conformarsi a tale "eventuale" obbligo e che, negli ultimi tempi, non hanno di certo dormito sonni tranquilli.

D'altronde la posta in gioco è davvero alta, se si pensi che l'omessa o incompleta notificazione comporta una sanzione a carico del titolare del trattamento che va dai 10.000 a 60.000 euro.
Sul sito del Garante, sotto la rubrica "la nuova notificazione al Garante" tra le istruzioni, al paragrafo 1 ( "Chi deve notificare"), compare la seguente "informazione":
"Il titolare che abbia già iniziato un trattamento anteriormente al 1° gennaio 2004, indipendentemente dalla circostanza che lo abbia notificato in passato, deve procedere, se vi è tenuto, alla nuova notificazione entro il 30 aprile 2004 (art. 181, comma 1, lett. c)."

La lettura di questa "informazione" data dal Garante sul proprio sito può giustificare l'allarme dei titolari del trattamento che hanno già effettuato la notifica sotto la vigenza della legge n. 675/96? Aziende e privati che hanno in passato provveduto ad adempire l'obbligo di notifica al Garante si chiedono: esiste un obbligo di rinotificazione da parte di chi abbia già notificato in passato, come sembra potersi dedurre dalle istruzioni presenti sul sito del Garante? Ma soprattutto si chiedono, spesso su suggerimento dei propri consulenti legali: quali sono le norme di riferimento da cui deriva tale obbligo?

Non può certo farsi derivare un generale obbligo di rinotificazione da una semplice istruzione predisposta dal Garante sul sito! Tale principio deve necessariamente trovare un riscontro normativo.

Occorre allora sviscerare le norme del nuovo Codice ed, in particolare, concentrarsi sull'art.181, comma 1, lettera c), del decreto legislativo 196/2003, riportato quale dato normativo di riferimento nell'istruzione in discussione fornita dal Garante, e sugli artt. 37, 38 del medesimo D.Lgs.

La prima disposizione richiamata recita:

"181. Altre disposizioni transitorie
1. Per i trattamenti di dati personali iniziati prima del 1° gennaio 2004, in sede di prima applicazione del presente codice:
(?.)
c) le notificazioni previste dall'articolo 37 sono effettuate entro il 30 aprile 2004;"

L'art. 181, lettera c), rimanda pertanto all'art. 37 del Codice, che, per maggiore chiarezza, riportiamo integralmente:
"37 Notificazione del trattamento
1. Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda:
a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;
b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;
c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;
d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;
e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;
f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti."

Ebbene, dalla lettura del combinato disposto dell'art. 37 e dell'art. 181, comma 1, lettera c), non può farsi derivare alcun obbligo di rinotificazione da parte del titolare del trattamento che abbia già effettuato la notifica sotto la vigenza della legge n. 675/96, né tantomeno alcun riferimento ad un obbligo di rinotificazione! Difatti l'art. 181, comma 1, lettera c), rimandando all'art. 37 del nuovo Testo Unico, si limita semplicemente a stabilire un termine ultimo ( 30 aprile 2004) per le notificazioni previste dall'art. 37. Pertanto, per quanto l'interprete delle norme in questione si sforzi, dal combinato disposto dell'art. 37 e dell'art. 181, comma 1, lettera c) non può certo ricavare alcun obbligo di rinotificazione per chi abbia già effettuato la notifica sotto la vigenza della legge n. 675/96, nè tale obbligo è previsto da alcuna altra norma del Testo Unico in materia di privacy.

Il nuovo Codice si limita infatti a confermare il principio, già presente nella precedente normativa in materia, in base al quale la notificazione debba essere effettuata una sola volta e prima dell'inizio del trattamento; una nuova notificazione dovrà essere effettuata solo anteriormente alla cessazione del trattamento o al mutamento di taluno degli elementi del trattamento che devono essere necessariamente indicati nella notificazione (art. 38, comma 1 e 4, del Dlgs 196/2003).

Difatti l'art. 38 recita:

"38. Modalità di notificazione.
1. La notificazione del trattamento è presentata al Garante prima dell'inizio del trattamento ed una sola volta, a prescindere dal numero delle operazioni e della durata del trattamento da effettuare, e può anche riguardare uno o più trattamenti con finalità correlate.

2. La notificazione è validamente effettuata solo se è trasmessa per via telematica utilizzando il modello predisposto dal Garante e osservando le prescrizioni da questi impartite, anche per quanto riguarda le modalità di sottoscrizione con firma digitale e di conferma del ricevimento della notificazione.

3. Il Garante favorisce la disponibilità del modello per via telematica e la notificazione anche attraverso convenzioni stipulate con soggetti autorizzati in base alla normativa vigente, anche presso associazioni di categoria e ordini professionali.

4. Una nuova notificazione è richiesta solo anteriormente alla cessazione del trattamento o al mutamento di taluno degli elementi da indicare nella notificazione medesima.

5. Il Garante può individuare altro idoneo sistema per la notificazione in riferimento a nuove soluzioni tecnologiche previste dalla normativa vigente.

6. Il titolare del trattamento che non è tenuto alla notificazione al Garante ai sensi dell'articolo 37 fornisce le notizie contenute nel modello di cui al comma 2 a chi ne fa richiesta, salvo che il trattamento riguardi pubblici registri, elenchi, atti o documenti conoscibili da chiunque. "

Pertanto, in considerazione dell'avviso che posticipa al 15 maggio 2004 il termine per completare le operazioni di notificazione già avviate, ma soprattutto in considerazione delle pesanti sanzioni previste dal nuovo Codice per l'omessa notificazione, si auspica un immediato intervento del Garante che faccia definitivamente chiarezza sul punto.

Avv. Giancarlo Barbon
Studio Sarzana & Partners
www.lidis.it
9 Commenti alla Notizia Un obbligo la rinotifica al Garante?
Ordina
  • ma questi giuristi quando la smettono di fornire interpretazioni spesso fuori luogo e generate da cattive abitudini interpretative derivanti da un sistema legislativo diverso dal quello che ha generato la norma sulla protezione dei dati personali?
    durante il primo corso del garante ho "felicemente" visto molti illuminati giuristi spegnersi miseramente dopo aver ascoltato le corrette interpretazioni del garante.
    E' gia' stato apmiamente detto dal garante stesso che le vecchie notifiche non esistono più e che sono tutte da rifare secondo i nuovi criteri, per cui no tutti dei delle vecchie notifiche sono da rifare. d'altronde la legge 675/96 non esiste piu'.
    ma a parte cio' perche' parlare di "proroga" quando quello dettto dal garante non e' assolutramente una proroga?. smettiamola di fare i classici italiani amanti delle virgole e della ricerca continua per no fare le cose.
    questa legge costringe ad un nuovo modo di pensare , qui si e' colpevoli per il solo fatto di esistere. ai miei corsi suggerisco ai clienti di appoggiarsi solo ed unicamente ad avvocati e giuristi esperti in materia di armi e trattamenti pericolosi, non sicuramente a penalisti e civilisti comuni.
    ma tornando alla proroga, il garante ha solo concesso 5 giorni di tempo rispetto al normale per completare le notifiche iniziate entro la scadenza originariamente indicata , nessuna proroga ma solo ed unicamente un tempo tecnico di completamento dovuto a problemi contingenti tecnici facilmente riconoscibili da ogni tecnico , ovviamente non da coloro che da anni dibattono sul significato di "rete pubblica" ; dimenticavo costoro sono quelli che in ogni caso hanno sempre da guadagnarci sia che si vinca sia che si perda , loro la parcella la incassano sempre , noi che invece quotidinamente accompagnamo l'utente nel difficile viaggio imposto dalla norma siamo corresponsabili e in caso di errori ci rimettiamo in prima persona.

    rino
    non+autenticato
  • in verità l'unico che ci guadagna è il garante (costa 150 euro rinotificare!)... per il resto se ognuno di noi facesse quello che sa fare sarebe meglio! e certamente chi ha csritto queste fesserie non è un giurista! e capire le differenze tra le letture del garante (che non è il legislatore) e quelle di un raffinato giurista non spetta certo a qualcuno che ha assistito acriticamente a un corso (a pagamento) del garante!
    Che belo per il garante sapere che ci sono sprovveduti come te! Auguri!
    e salutami gli esperti in armi pericolose!!!!!!!!!:(
    non+autenticato
  • la vecchia legge 675/96 non esiste più,
    ma non esiste nemmeno nel nuovo Testo Unico un obbligo
    di rinotificare un trattamento già notificato che non ha subito alcun cambiamento.
    se bastasse la voce del Garante in un seminario di aggiornamento per dettare le norme staremo freschi...ma per fortuna il Garante non è la Corte di Cassazione, e quest'ultima almeno le interpretazioni le scrive con sentenza pubblica....
    non+autenticato
  • Caro Giancarlo, finalmente c'è qualche giurista che ragiona in Italia! Occhiolino
    Mi sembra che la maggior parte dei nostri colleghi (o almeno quelli che poco conoscono la normativa sulla "privacy") pendano dalle labbra del garante confondendo la legge con le personali (e poco disinteressate) interpretazioni dell'authority!
    Avevo scritto sempre su punto informatico cose simili alle tue e confermo pienamente la tua linea di lettura delle norme (vedi http://punto-informatico.it/p.asp?i=47405) .
    Un caro saluto e a presto! Andrea Lisi (www.studiodl.it)
    non+autenticato
  • La posizione dell'avvocato Barbon è chiara, la condivido e penso sia sacrosanta.
    Nel frattempo, però, siamo in questa situazione: il Garante dice che i soggetti obbligati alla notifica ai sensi della nuova normativa, la devono trasmettere anche se già l'avevano fatto prima del 2004.
    E' vero che il Garante non è un giudice, ne' un legislatore. Tuttavia è un organo di controllo, per cui è verosimile pensare che un'eventuale verifica da parte della Guardia di Finanza (l'istituzione preposta ai controlli) si muova sulle indicazioni prescritte dal Garante.
    E il soggetto che non avesse prodotto la nuova notifica, se obbligato, potrebbe incorrere in sanzioni, che potranno in seguito essere contestate ai sensi dell'interpretazione dell'avvocato Barbon. Ma in che modo si può avviare un contenzioso?
    Ce lo possiamo permettere? O troveremo qualche legale disposto ad assisterci "pro bono"?
    non+autenticato
  • Ma io che come tanti ho un sito internet su cui gli utenti si registrano con email e specificano facoltativamente sesso, nome, età e provincia di residenza sono tenuto a comunicare questo tipo di trattamento al garante?
    Da quel che ho capito no, ma vorrei togliermi il dubbio...:|

    Grazie a chiunque sia in grado di rispondermi!Sorride
    non+autenticato
  • No non devi notificare nulla. Stai tranquillo.
    non+autenticato
  • e io che ho un negozio, prendo dati come indirizzo, telefono, celluare... devo notificare qualcosa io??

    Grazie

    non+autenticato
  • Nessun obbligo di notifica, restano tutti gli altri obblighi (DPS, lettere d'incarico ecc.) di cui all'allegato B.

    Consiglio di leggerlo o di rivolgersi ad un consulente...

    Il 30 giugno è vicino ....
    non+autenticato