Roma – Dopo pochi giorni dalla scadenza del termine (30 aprile) previsto dal nuovo Codice sulla Privacy per effettuare la notifica del trattamento dei dati personali al Garante, e la comparsa sul sito del Garante di un avviso dell’ultima ora – che, sostanzialmente, consente, a chi si trovi in difficoltà nel completare la notifica per via telematica entro il 30 aprile (causa soprattutto l’intenso traffico telematico sul sito del Garante), di completare ed inviare le notifiche entro le ore 24 del giorno 15 maggio 2004 – molte aziende e privati si chiedono, con l’acqua alla gola, se l’obbligo della notificazione debba essere ottemperato nuovamente anche da parte dei titolari del trattamento che abbiano già effettuato la notificazione sotto il vigore della legge n. 675/96.
Un’esaustiva risposta a tale domanda, che metta a tacere definitivamente le diverse chiacchiere sragionate sull’argomento, frutto spesso della concitazione del momento e delle giustificate preoccupazioni dei soggetti interessati, presuppone una conoscenza ed un’analisi giuridica approfondita della nuova normativa in tema di privacy, e si porta dietro una serie di conseguenze non certo irrilevanti sotto diversi profili, in primis per i titolari del trattamento dei dati personali, ovvero per coloro che sarebbero (o sarebbero stati) eventualmente tenuti a conformarsi a tale “eventuale” obbligo e che, negli ultimi tempi, non hanno di certo dormito sonni tranquilli.
D’altronde la posta in gioco è davvero alta, se si pensi che l’omessa o incompleta notificazione comporta una sanzione a carico del titolare del trattamento che va dai 10.000 a 60.000 euro.
Sul sito del Garante, sotto la rubrica “la nuova notificazione al Garante” tra le istruzioni, al paragrafo 1 ( “Chi deve notificare”), compare la seguente “informazione”:
“Il titolare che abbia già iniziato un trattamento anteriormente al 1° gennaio 2004, indipendentemente dalla circostanza che lo abbia notificato in passato, deve procedere, se vi è tenuto, alla nuova notificazione entro il 30 aprile 2004 (art. 181, comma 1, lett. c).”
La lettura di questa “informazione” data dal Garante sul proprio sito può giustificare l’allarme dei titolari del trattamento che hanno già effettuato la notifica sotto la vigenza della legge n. 675/96? Aziende e privati che hanno in passato provveduto ad adempire l’obbligo di notifica al Garante si chiedono: esiste un obbligo di rinotificazione da parte di chi abbia già notificato in passato, come sembra potersi dedurre dalle istruzioni presenti sul sito del Garante? Ma soprattutto si chiedono, spesso su suggerimento dei propri consulenti legali: quali sono le norme di riferimento da cui deriva tale obbligo?
Non può certo farsi derivare un generale obbligo di rinotificazione da una semplice istruzione predisposta dal Garante sul sito! Tale principio deve necessariamente trovare un riscontro normativo.
Occorre allora sviscerare le norme del nuovo Codice ed, in particolare, concentrarsi sull’art.181, comma 1, lettera c), del decreto legislativo 196/2003, riportato quale dato normativo di riferimento nell’istruzione in discussione fornita dal Garante, e sugli artt. 37, 38 del medesimo D.Lgs.
La prima disposizione richiamata recita:
“181. Altre disposizioni transitorie
1. Per i trattamenti di dati personali iniziati prima del 1° gennaio 2004, in sede di prima applicazione del presente codice:
(?.)
c) le notificazioni previste dall’articolo 37 sono effettuate entro il 30 aprile 2004;”
L’art. 181, lettera c), rimanda pertanto all’art. 37 del Codice, che, per maggiore chiarezza, riportiamo integralmente:
“37 Notificazione del trattamento
1. Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda:
a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;
b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;
c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;
d) dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;
e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;
f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.”
Ebbene, dalla lettura del combinato disposto dell’art. 37 e dell’art. 181, comma 1, lettera c), non può farsi derivare alcun obbligo di rinotificazione da parte del titolare del trattamento che abbia già effettuato la notifica sotto la vigenza della legge n. 675/96, né tantomeno alcun riferimento ad un obbligo di rinotificazione! Difatti l’art. 181, comma 1, lettera c), rimandando all’art. 37 del nuovo Testo Unico, si limita semplicemente a stabilire un termine ultimo ( 30 aprile 2004) per le notificazioni previste dall’art. 37. Pertanto, per quanto l’interprete delle norme in questione si sforzi, dal combinato disposto dell’art. 37 e dell’art. 181, comma 1, lettera c) non può certo ricavare alcun obbligo di rinotificazione per chi abbia già effettuato la notifica sotto la vigenza della legge n. 675/96, nè tale obbligo è previsto da alcuna altra norma del Testo Unico in materia di privacy.
Il nuovo Codice si limita infatti a confermare il principio, già presente nella precedente normativa in materia, in base al quale la notificazione debba essere effettuata una sola volta e prima dell’inizio del trattamento ; una nuova notificazione dovrà essere effettuata solo anteriormente alla cessazione del trattamento o al mutamento di taluno degli elementi del trattamento che devono essere necessariamente indicati nella notificazione (art. 38, comma 1 e 4, del Dlgs 196/2003).
Difatti l’art. 38 recita:
“38. Modalità di notificazione.
1. La notificazione del trattamento è presentata al Garante prima dell’inizio del trattamento ed una sola volta, a prescindere dal numero delle operazioni e della durata del trattamento da effettuare, e può anche riguardare uno o più trattamenti con finalità correlate.
2. La notificazione è validamente effettuata solo se è trasmessa per via telematica utilizzando il modello predisposto dal Garante e osservando le prescrizioni da questi impartite, anche per quanto riguarda le modalità di sottoscrizione con firma digitale e di conferma del ricevimento della notificazione.
3. Il Garante favorisce la disponibilità del modello per via telematica e la notificazione anche attraverso convenzioni stipulate con soggetti autorizzati in base alla normativa vigente, anche presso associazioni di categoria e ordini professionali.
4. Una nuova notificazione è richiesta solo anteriormente alla cessazione del trattamento o al mutamento di taluno degli elementi da indicare nella notificazione medesima.
5. Il Garante può individuare altro idoneo sistema per la notificazione in riferimento a nuove soluzioni tecnologiche previste dalla normativa vigente.
6. Il titolare del trattamento che non è tenuto alla notificazione al Garante ai sensi dell’articolo 37 fornisce le notizie contenute nel modello di cui al comma 2 a chi ne fa richiesta, salvo che il trattamento riguardi pubblici registri, elenchi, atti o documenti conoscibili da chiunque. ”
Pertanto, in considerazione dell’avviso che posticipa al 15 maggio 2004 il termine per completare le operazioni di notificazione già avviate, ma soprattutto in considerazione delle pesanti sanzioni previste dal nuovo Codice per l’omessa notificazione, si auspica un immediato intervento del Garante che faccia definitivamente chiarezza sul punto.
Avv. Giancarlo Barbon
Studio Sarzana & Partners
www.lidis.it