Nuove regole per la notificazione

di
Davide Cautela

E' appena trascorso il primo trimestre dalla entrata in vigore del nuovo Codice sulla privacy, e si è già dovuto far ricorso alle prime proroghe dei termini indicati dal Garante come utili all'adeguamento: il termine fissato al 31 di marzo per la redazione del Documento Programmatico della Sicurezza è stato fatto slittare al 30 giugno.

Appena pochi giorni fa, inoltre, è maturata la seconda scadenza importante, cioè il termine finale entro cui i titolari di trattamenti già iniziati alla data del 1 gennaio 2004 - e che rientrano tra quelli che la legge individua in maniera specifica all'art. 37 - dovranno provvedere alla notificazione al Garante.

Le vicende che hanno accompagnato i giorni immediatamente precedenti la scadenza finale hanno confermato la estrema difficoltà che, da un canto, gli operatori continuano ad avere nel confrontarsi con la lettera della normativa di settore e, dall'altro, le difficoltà che il Garante ha incontrato per gestire correttamente le procedure informatiche indicate come unico mezzo utile per adempiere alla prescrizione. Per questi motivi, chi ha correttamente iniziato la procedura entro i termini, potrà completare la notificazione entro il termine di proroga fissato al 15 maggio p.v.

Due scadenze fissate per legge, due proroghe concesse dal Garante.

Non manca di creare qualche imbarazzo giuridico il ripetuto ricorso ad un potere di proroga esercitato dal Garante, il quale di fatto opera delle modifiche, seppur temporanee, a disposizioni di legge di primo grado promanate dal legislatore o dal legislatore delegato¹. Quantomeno dubbia potrebbe considerarsi la legittimità costituzionale dell'attribuzione di tali prerogative ( con forza latamente normativa) ad un soggetto giuridico che il nostro ordinamento svincola da ogni soggezione politica.

Ma al di là di considerazioni di ambito istituzionale, e volendo restringere il campo di analisi al nuovo assetto normativo ed, al suo interno, all'ambito degli adempimenti di notificazione, non c'è dubbio che l'intervento della novella in materia si debba accogliere come particolarmente opportuno, avendo reso più certa e snella la procedura individuata per uno degli adempimenti essenziali indicati dalla normativa. A ben vedere, rispetto alla vecchia disciplina, il cambiamento prodotto riguarda aspetti non marginali, ma questioni che possono definirsi centrali nel sistema normativo, attenendo proprio alle procedure studiate per realizzare quel principio di pubblicità e trasparenza - oltre che quello di efficacia esplicitamente richiamato all'art.2 della legge - cui l'intera disciplina è informata²; gli interventi praticati hanno condotto ad individuare un elenco ristretto dei trattamenti da notificare, a ridurre e razionalizzare il contenuto della notificazione richiesta ed individuare, elemento di rilevante interesse, una modalità unica di adempimento con il ricorso all'invio telematico attraverso Internet.

Certamente la decisione di restringere l'ambito dei trattamenti sottoposti all'obbligo, ha il pregio di condurre ad un duplice risultato utile di percezione immediata: da un lato, si è ridotta l'enorme massa di dati che l'Ufficio del Garante si è trovato costretto a gestire nella vigenza della legislazione precedente³ e, dall'altro, si è diminuito il carico burocratico-amministrativo delle già sufficientemente stringenti modalità di adempimento che gli operatori sono tenuti a rispettare.

L'art. 37 del nuovo Codice della Privacy fornisce l'espressa elencazione dei casi che presuntivamente sono ritenuti pericolosi ed ai quali, dunque, è attribuito l'obbligo della notificazione. La lettura attenta delle ipotesi individuate alle lettere dalla a) alla f) dell'articolo appena citato, rende chiaro che l'intento del Legislatore delegato è stato quello di individuare in modo specifico un elenco di trattamenti da portare alla diretta conoscenza del Garante che, almeno in potenza, appaiono quelli maggiormente suscettibili di recare pregiudizi ai diritti e alle libertà dell'interessato, e del resto, a ben vedere, si è dato corpo ad una specifica applicazione del principio già contenuto nell'art. 3 d.lgs. n. 467/2001 in cui si restringeva l'obbligo della notificazione ai trattamenti che " in ragione delle relative modalità o della natura dei dati personali, sia(no) suscettibile(i) di recare pregiudizio ai diritti e alle libertà dell'interessato".

Il bisogno di contemperare previsioni di maggiore tutela, in tali evenienze, con l'opportunità di non rendere eccessivamente rigide ed ingessanti le maglie della normativa, è reso esplicito da quanto la legge afferma ai commi immediatamente successivi, laddove si sancisce che il Garante potrà comunque individuare, al di fuori di quelli elencati dalla legge all'art.37 ed in relazione a ipotesi specifiche, altri trattamenti da sottoporre all'obbligo della notificazione o, viceversa, individuarne alcuni tra quelli di cui al comma uno del predetto articolo come non suscettibili di recare il detto pregiudizio e, quindi, possibili oggetto di esenzione dall'obbligo di cui si parla⁴ .

Quest'ultima soluzione adottata, tra l'altro, dimostra come si sia confermata l'esigenza di rendere la legislazione di riferimento il più funzionale possibile rispetto alla complessità dei casi pratici, al punto da produrre scelte normative di ampliamento delle ipotesi di traduzione positiva del principio che autorevole dottrina indica come "dinamismo giuridico" (ad esempio, si era già – e con apprezzabili risultati di "decongestione del sistema" - applicato nella vigenza della precedente legge 675 /1996 col ricorso all'istituto delle autorizzazioni generali).

E' evidente che la determinazione di quanto indicato nella disposizione in esame è frutto dell'esperienza dei casi concreti che, con l'aumentato diffondersi dell'uso di nuove tecnologie e col progredire delle conoscenze scientifiche⁵, hanno palesato un sempre crescente potere di intrusione nelle sfere private di terzi da parte di soggetti non legittimati.

Pur non spingendosi in specifiche e dettagliate analisi del testo normativo proposto, in questa sede inopportune, è senz'altro interessante rilevare come l'elencazione prodotta dalla legge, che per necessità di dettaglio è stata specificata in ben sei punti differenti (dalla lettera a alla lettera f), renda palese l'intenzione del legislatore delegato di volgere particolare attenzione a categorie di dati che possono concettualmente, senz'altro, farsi rientrare in tre macro-gruppi riferibili: ai dati i)relativi a caratteristiche fisiche, condizioni di salute o attinenti la sfera sessuale o quella psichica, a quelli ii)volti a effettuare quella che in termine gergale si chiama "profilazione" di soggetti, ed a quelli iii)relativi, essenzialmente, al rapporto dei soggetti con il mercato del credito. I dati indicati nelle sei categorie descritte dalla legge vengono presi in considerazione ora relativamente a parametri di tipo oggettivo, ora a parametri di tipo soggettivo, ora a parametri relativi alle modalità di trattamento: sulla valutazione combinata di essi si determinano obblighi ed esenzioni.

Il primo macro-gruppo, nel quale è da includere - tra gli altri - la relativamente nuova categoria di dati genetici e biometrici generalmente intesi prescindendo da qualunque genere di restrizione o esclusione, ricomprende anche i dati relativi allo stato di salute fisico o psichico ed alla sfera sessuale, questa volta non considerati indistintamente nel loro complesso, ma, operando una selezione, limitatamente ai casi in cui il loro eventuale trattamento è mirato a specifiche finalità (procreazione assistita, servizi sanitari per via telematica etc.) o in cui si facesse ricorso a specifiche modalità di trattamento (ad es. l'ausilio dei mezzi elettronici o di comunicazione telematica) o fossero trattati da determinate categorie di titolari (ad es. associazioni, enti, organismi senza scopo di lucro anche non riconosciuti); è dunque chiaro che, fermi restando gli obblighi di altra natura, ad esempio, dove necessaria, l'autorizzazione del Garante, il titolare di trattamenti relativi a dati sensibili diversi da quelli espressamente indicati o mirati a finalità diverse (si pensi a quelli raccolti per selezione del proprio personale) non sono tenuti all'adempimento della notificazione.

Ma l'ambito di intervento che si è posto all'attenzione specifica della legge, ricompreso nell'ultimo macro gruppo che ho individuato, è quello relativo ai trattamenti volti alla gestione di data base elettronici relativi al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni o a comportamenti illeciti o fraudolenti: certamente, quest'ultima previsione assume un valore di particolare utilità per il cittadino ed in particolare per il consumatore che richiede accesso al credito.

La potenziale valenza lesiva dei comportamenti sopra descritti si coglie appieno tenendo in conto che il nostro ordinamento ha valutato di dare diretta copertura costituzionale ai diritti coinvolti in simili fattispecie: basti un cenno all'art. 47 primo comma della carta costituzionale che espressamente sancisce che "la Repubblica[...]disciplina, coordina e controlla l'esercizio del credito".

Il riferimento immediato è, a tale proposito, al ruolo spesso determinante svolto dalle cd. "centrali rischi private" la cui attività è volta, in via generalissima, a catalogare i dati relativi ad utenti del mercato del credito, a cui richiede l'accesso la gran parte degli operatori del settore, e che troppo spesso si sono rivelate banche dati non aggiornate, con dati non veritieri e rispetto alle quali la possibilità di controllo e rettifica degli spesso ignari interessati è resa difficilmente praticabile. A conferma della posizione di particolare rilievo che l'argomento in questione ha assunto negli ultimi anni tra le priorità del Garante, basti ricordare gli interventi diretti che il suo Ufficio è stato chiamato ad espletare sulle dette questioni: ex pluris, con provvedimento del 2 maggio 2002, vigente la disciplina previgente, l'Autority si è pronunciata per dover espressamente dichiarare che "risulta eccedente rispetto alle finalità per le quali i dati sono stati raccolti o successivamente trattati (art. 9, comma 1, lett. d) della legge n. 675/1996), la conservazione presso una "centrale rischi" privata dei dati dell'interessato relativi ad un rapporto di finanziamento estinto da circa quattro anni senza residui o pendenze. I dati devono essere, quindi, cancellati". Ma al di sopra di interventi mirati, il 31 luglio 2002 (Bollettino 30/luglio 2002) il Garante ha emesso un provvedimento generale per le centrali rischi private con il quale già segnalava "la necessità di conformare il trattamento dei dati personali svolti in tali ambiti ai principi della legge 675/1996 (allora riferimento normativo, ndr)" e di fornire "entro il 15 dicembre 2002 all’Ufficio del Garante dettagliate notizie circa le prime misure adottate nelle more del previsto codice di deontologia e di buona condotta" oltre che una molteplice quantità (in numero superiore alla ventina) di ulteriori provvedimenti concentrati tra l'aprile 2001 e l'agosto 2002. L'attenzione rivolta alla materia dalla nuova disposizione di legge è evidentemente in linea con esigenze di regolamentazione già in precedenza avvertite e verso le quali si pongono come parziali dirette risposte.

L'elemento che porta marcati i segni della evoluzione tecnologica e che molto probabilmente per questo stesso motivo, quantomeno in una fase di start-up, sarà fonte di maggiori difficoltà operative è, chiaramente, quello contenuto al secondo comma dell'art. 38 del codice. Dopo aver ribadito - questo elemento era già presente nella disciplina previgente - che la notificazione deve essere fatta una sola volta e preliminarmente all'inizio del trattamento, si dichiara che "La notificazione è validamente effettuata solo se è trasmessa per via telematica utilizzando il modello predisposto dal Garante e osservando le prescrizioni da questi impartite, anche per quanto riguarda le modalità di sottoscrizione con firma digitale e di conferma del ricevimento della notificazione".

Opportunamente la modalità prevista di trasferimento delle notificazioni è stata considerata la più idonea a rendere effettiva la previsione espressamente fatta al comma 4 dello stesso articolo 37 della tenuta di un registro dei trattamenti, magari aggiornabile in tempo reale, accessibile a chiunque per via telematica. Anche questo aspetto di pubblicità, però, merita una notazione!

La stessa possibilità di accesso da parte di chiunque a tale registro si pone come potenziale fonte di pregiudizio derivato alla diffusione di dati e potrebbe dar luogo, per ipotesi assurda, ad un trattamento eccedente le finalità specifiche. Ad evitare il prodursi di tale paradossale evenienza l'art. 37 al comma 4 del codice stabilisce che sia il Garante stesso a determinare "le modalità per la sua consultazione gratuita per via telematica, anche mediante convenzioni con soggetti pubblici o presso il proprio Ufficio", ed aggiunge che " le notizie accessibili tramite la consultazione del registro possono essere trattate per esclusive finalità di applicazione della disciplina in materia di protezione dei dati personali". Il problema dell'accesso a registri pubblici con caratteristiche simili, il Garante ha già mostrato di tenerlo in debita considerazione sulla scorta, tra l'altro, di un intervento dei Garanti Europei (2/2003 del 13 giugno 2003) relativo al registro Whois che, disponibile online, presenta certamente caratteri analoghi di pericolosità⁶: in quella occasione è stato prodotto un forte richiamo al principio della proporzionalità ed è stato suggerito l'uso di filtri all'incondizionato accesso.

Il Garante ha dunque scelto la via di obbligare gli operatori all'utilizzo del mezzo informatico, e questo porta ad una duplice considerazione. Sicuramente, il fatto che i trattamenti di cui si parla sono per la gran parte operati con l'ausilio di mezzi elettronici fa supporre una capacità e frequenza d'uso degli stessi, tale da non procurare eccessivi disagi agli operatori, ma è anche da considerare il valore aggiunto portato dalla notificazione telematica di documenti già in formato elettronico che permette di aggiornare gli archivi del Garante in tempo reale, scavalcando il procedimento di digitazione del documento cartaceo con evidenti risparmi di tempo e di denaro alle casse pubbliche.

Probabilmente anche per minimizzare il disagio derivato dall'uso del mezzo informatico e dello specifico strumento di firma digitale, anche la nuova disciplina conferma al comma 3 dell'art.38 che "il Il Garante favorisce la disponibilità del modello per via telematica e la notificazione anche attraverso convenzioni stipulate con soggetti autorizzati in base alla normativa vigente, anche presso associazioni di categoria e ordini professionali."; va però ribadito che l'obbligo della notificazione rimane giuridicamente un atto imputabile al titolare (art.37 comma 1: Il titolare notifica al Garante il trattamento di dati personali cui intende procedere[...],), il quale può delegare, nel rispetto delle previsioni di legge, la sola esecuzione dell'operazione di apposizione di firma, previo richiamo di una notificazione peraltro già eseguita direttamente dal titolare medesimo, e successivamente sospesa in mancanza dell'ultimo atto di sottoscrizione digitale.

Non ci si può nascondere di fronte alla considerazione che ancora non esiste, nell'ambito del nostro panorama nazionale, una "cultura" dell'uso della firma elettronica tale da farla considerare normale mezzo di sottoscrizione di documenti. Quest'ultima innovazione legislativa oltre ad essere giunta ad un punto d'approdo solo recentemente (d.P.R. 137/2003), proviene da un lungo, e spesso contraddittorio, percorso di formazione. E' evidente che l'ovvia conseguenza del fatto che l'uso della firma elettronica (rectius digitale, date le differenze poste dalla attuale disciplina in materia) sia ancora ristretto ad un ambito di operatori di nicchia, sarà che la gran parte di essi saranno costretti a dotarsene ed a sperimentarne per la prima volta l'utilizzo entro la scadenza fissata per l'adempimento, in via di proroga, il 15 di maggio prossimo.

Pur con qualche riserva, quindi, relativa all'iter di consolidamento della disciplina e per quanto attiene alle metodiche applicative, è comunque necessario riconoscere lo sforzo posto dal legislatore delegato e dal Garante (si pensi al forte potere di indirizzo normativo attribuito ad esso) mirato a formulare un quadro normativo di riferimento che fosse in linea con le esigenze mostrate e gli indirizzi interpretativi formatisi nel corso di applicazione della ormai superata 675/1996.

NOTE

1 E' appena il caso di ricordare che il T.U. prodotto dal d.lgs. 196/2003 non abroga in maniera generale la normativa precedente, ma solo se ed entro i limiti in cui esprima specifica disciplina difforme.
2 Agli stessi principi si ispira anche la previsione di cui all'art.38 comma 6 nella quale è previsto che: "il titolare che non è tenuto alla notificazione al Garante ai sensi dell'art.37 fornisce le notizie contenute nel modello di cui al comma 2 (il modello predisposto dal Garante per la notificazione, ndr) a chi ne fa richiesta[...]"
3 Era stato autorevolmente rilevato come questo sarebbe stato un "importante banco di prova per il Garante e per la sua organizzazione" (Imperiali, 1997, 12).
4 In effetti il Garante ha già recentemente prodotto i primi interventi del genere, probabilmente con eccesso tale da aver in parte compromesso la portata semplificazione ed esplicativa, con il Provvedimento n.1/2004 del 31/3/2004 relativo ai casi da sottrarre agli obblighi di notificazione, e con il documento di data 23/4/2004 volto a fornire chiarimenti sui trattamenti da notificare al Garante e con l'intervento del 26/4/2004 diretto a chiarimenti volti all'attività sanitaria.
5 Con enfasi allarmistica si parla spesso di vera "deriva tecnologica".
6 Si tratta di registri consultabili online e contenenti i dati e le informazioni relative ai responsabili dei domini e delle reti Internet.

Siracusa 5 maggio 2004