Dopo il provvedimento che ha escluso la notificazione per alcuni trattamenti
di dati personali (Provv. n. 1/2004 del 31 marzo 2004, pubblicato sulla
Gazzetta ufficiale 6 aprile 2004, n. 81 e sul sito giustamm), l’Ufficio del
Garante ha fornito alcuni ulteriori chiarimenti per il settore privato
(imprese, banche, assicurazioni, professionisti, enti no-profit) su altri
trattamenti che non devono essere notificati in base ad una corretta
interpretazione delle disposizioni del Codice sulla privacy.
Si riporta di seguito il testo:

Oggetto: chiarimenti sui trattamenti da notificare al Garante

La notificazione al Garante deve essere come noto effettuata solo se il
trattamento dei dati personali è indicato specificamente nel Codice entrato
in vigore lo scorso 1° gennaio (art. 37 d.lg. n. 196/2003).
La notificazione può essere poi esclusa per effetto di un provvedimento di
questa Autorità che è stato già adottato lo scorso 31 marzo (Provv. n.
1/2004, pubblicato sulla Gazzetta ufficiale 6 aprile 2004, n. 81 e sul sito
web www.garanteprivacy.it).
Si ritiene ora opportuno evidenziare altri trattamenti che non devono essere
notificati in base ad una corretta interpretazione delle disposizioni
vigenti.

1. Dati genetici e biometrici (art. 37, comma 1, lett. a)).
Il provvedimento n. 1/2004 ha individuato i presupposti in base ai quali non
devono essere notificati i trattamenti di tali dati effettuati da esercenti
le professioni sanitarie e da avvocati.
Tale esonero, alle condizioni indicate, opera anche nel caso in cui
l’attività sia prestata in forma associata. L’esonero opera inoltre per
l’attività svolta da medici titolari di un trattamento in materia di igiene
e sicurezza del lavoro e della popolazione.

2. Posizione geografica di persone od oggetti (art. 37, comma 1, lett. a)).
La norma si riferisce alla localizzazione di persone o oggetti, ed è quindi
riferita alla rilevazione della loro presenza in determinati luoghi,
mediante reti di comunicazione elettronica gestite o accessibili dal
titolare del trattamento.
La localizzazione va notificata quando permette di individuare in maniera
continuativa -anche con eventuali intervalli- l’ubicazione sul territorio o
in determinate aree geografiche, in base ad apparecchiature o dispositivi
elettronici detenuti dal titolare o dalla persona oppure collocati sugli
oggetti.
La localizzazione deve comunque permettere di risalire all’identità degli
interessati, anche indirettamente attraverso appositi codici.

Non devono essere quindi notificati al Garante i trattamenti di dati
personali che consentano solo una rilevazione non continuativa del passaggio
o della presenza di persone o oggetti, effettuata, ad esempio, all’atto
della:
a) registrazione di ingressi o uscite presso luoghi di lavoro, tramite
tessere elettromagnetiche, codici di accesso o altri dispositivi, a meno
che, mediante la rete di comunicazione elettronica, sia possibile tracciare
gli spostamenti di interessati in determinati luoghi o aree sul territorio.
Non devono essere inoltre trattati dati biometrici, perché in tal caso la
notificazione è necessaria;
b) rilevazione di immagini o suoni, anche con impianti a circuito chiuso,
presso immobili o edifici ove si svolgono attività del titolare del
trattamento (locali commerciali, professionali o aziendali, nonché le
relative aree perimetrali, adibite a parcheggi o a carico/scarico merci,
accessi, uscite di emergenza), a meno che, anche mediante interazione con
altri sistemi, il titolare possa rilevare le diverse ubicazioni o
spostamenti di una persona o di un oggetto in determinati luoghi o aree sul
territorio;
c) lettura di carte elettroniche per fornire beni, prestazioni o servizi
quali, ad esempio, carte di pagamento, carte di credito o di fidelizzazione.
I dati non devono essere peraltro rilevati con strumenti elettronici volti
ad analizzare abitudini o scelte di consumo, poiché in tal caso la
notificazione è necessaria (art. 37, comma 1, lett. d)).

3. Dati sulla salute o sulla vita sessuale utilizzati per prestare servizi
sanitari per via telematica (art. 37, comma 1, lett. b)).
É tenuto alla notificazione chi eroga servizi sanitari per via telematica
relativi ad una banca di dati o alla fornitura di beni.
Non devono essere quindi notificati i trattamenti di dati sanitari -e/o
sulla vita sessuale- effettuati nell’ambito di servizi di assistenza o
consultazione sanitaria per via telefonica, come i servizi telefonici
gestiti in ambito assicurativo e che consentono il consulto di esercenti
professioni sanitarie.

4. Dati sulla vita sessuale o sulla sfera psichica trattati da organismi
no-profit (art. 37, comma 1, lett. c)).
Non vanno notificati al Garante i trattamenti effettuati da associazioni,
enti od organismi che non hanno carattere politico, sindacale, religioso o
filosofico, come ad esempio cooperative che svolgono attività di ricovero e
assistenza a malati psichici.
Il provvedimento n. 1 del Garante, laddove esclude (punto 3) la
notificazione per i trattamenti di dati idonei a rivelare la sfera psichica
di lavoratori in materia di rapporto di lavoro e di previdenza, si riferisce
anche ai casi in cui si deve adempiere a specifici obblighi stabiliti in
sede di contrattazione collettiva e giuridicamente rilevanti in base alla
normativa in materia.

5. Strumenti elettronici per profilare interessati o utenti di servizi di
comunicazione elettronica (art. 37, comma 1, lett. d)).
Ai fini dell’obbligo di notificazione, gli strumenti elettronici utilizzati
devono essere configurati e impiegati per definire o valutare il profilo o
la personalità dell’interessato, oppure per analizzare le sue abitudini o
scelte di consumo. I sistemi o programmi informatici devono essere
finalizzati a registrare, elaborare o raffrontare specifiche annotazioni per
studiare il comportamento o le preferenze di singoli interessati od utenti
individuati nominativamente o identificabili anche indirettamente attraverso
appositi codici.
Non devono essere quindi notificati i trattamenti di dati effettuati al solo
fine di:
a) fornire all’interessato beni, prestazioni o servizi, con l’ausilio di
strumenti elettronici finalizzati alla gestione del relativo rapporto e dei
connessi adempimenti contabili o fiscali, all’invio di eventuali
comunicazioni informative commerciali e al controllo della qualità di
servizi offerti senza procedere ad alcuna profilazione degli interessati;
b) verificare l’identità o il profilo di autorizzazione di utenti o
incaricati, nell’ambito di sistemi di autenticazione informatica o di
autorizzazione per l’accesso a dati o sistemi (ad esempio, per accedere ad
una banca di dati personali o a determinati contenuti di un sito web). Anche
in questo caso, se sono trattati dati biometrici la notificazione è
necessaria (art. 37, comma 1, lett. a));
c) registrare gli accessi ad un sito web, se i dati sono memorizzati
esclusivamente per il tempo tecnicamente indispensabile ai fini di sicurezza
del sistema o di elaborazione statistica in forma anonima.

6. Rilevazione del rischio sulla solvibilità economica o di comportamenti
illeciti o fraudolenti (art. 37, comma 1, lett. f)).
Non devono essere notificati i trattamenti effettuati da soggetti che
utilizzano banche di dati centralizzate o sistemi informativi gestiti
autonomamente da altri soggetti -titolari del relativo trattamento- e che,
pur comunicando a questi ultimi alcuni dati personali, non hanno alcun
potere decisionale in ordine alle finalità e alle modalità del trattamento e
agli strumenti utilizzati in tali ambiti. Ciò anche quando, per mere ragioni
tecniche, una copia della banca di dati gestita dal terzo autonomo titolare
del trattamento, risieda presso il soggetto abilitato unicamente a
consultarla in tale forma.
Ad esempio, banche, uffici postali e società emittenti carte di pagamento
non devono notificare i trattamenti di dati effettuati nell’ambito
dell’archivio informatizzato degli assegni bancari e postali e delle carte
di pagamento istituito ai sensi del d.lg. n. 507/1999 (c.d. Centrale di
allarme interbancaria-CAI) e gestito dalla Banca di Italia in qualità di
titolare del trattamento (art. 10-bis, comma 2, l. n. 386/1990; art. 1,
comma 4, d. m. n. 458/2001).
In riferimento ai casi indicati nel provvedimento n. 1/2004 del Garante, si
ritiene utile infine precisare che:
a) non devono essere notificati (punto 6, lett. b)) i trattamenti relativi a
clienti o fornitori effettuati da liberi professionisti od organismi (es.:
CAAF) per adempimenti fiscali (ad es., in qualità di intermediari necessari
per presentare le dichiarazione dei redditi) o contabili (es.: redazione di
bilanci), oppure per svolgere investigazioni difensive o curare la difesa in
sede giudiziaria di diritti degli assistiti;
b) i trattamenti relativi alla fornitura di beni, prestazioni o servizi (ad
esempio, concernenti clienti, fornitori o dipendenti) o ad adempimenti
contabili o fiscali, e che non devono essere notificati in base al
provvedimento n. 1/2004 (punto 6, lett. b)), riguardano anche dati di cui
sia necessario il trattamento in sede pre-contrattuale;
c) i trattamenti relativi ad obbligazioni, comportamenti illeciti o
fraudolenti che non devono essere notificati in quanto trattati solo per
adempiere ad obblighi normativi in materia di rapporto di lavoro, previdenza
o assistenza (punto 6, lett. c)), comprendono quelli concernenti eventuali
obblighi derivanti dalla contrattazione collettiva, giuridicamente rilevanti
in base alla normativa in materia;
d) sono sottratti all’obbligo di notificazione i soggetti pubblici che
utilizzano la banca di dati elettronica per riscuotere tributi, applicare
sanzioni amministrative o rilasciare licenze, concessioni o autorizzazioni
(punto 6, lett. d) del provv. n. 1/2004). Devono invece notificare i
soggetti privati concessionari di servizi di riscossione di tributi che
esercitano le medesime attività, a meno che essi svolgano formalmente ed
effettivamente le funzioni di “responsabile del trattamento” per conto del
soggetto pubblico conformemente alle disposizioni vigenti su tale
designazione (art. 29 del Codice);
e) non sono sottratti all’obbligo di notificazione i trattamenti di immagini
o suoni che, benché registrati temporaneamente, siano inseriti in apposite
banche di dati elettroniche relative a comportamenti illeciti o fraudolenti
(punto 6, lett. e) del provv. n. 1/2004).

Note

L'articolo Il Garante fornisce chiarimenti sui trattamenti da notificare proviene da Giustamm.