La notifica al Garante è una dichiarazione con la quale si comunica al Garante l’esistenza di un’attività di raccolta e di utilizzazione di dati personali. L’articolo 37 indica sia i dati per i quali è necessaria la notifica al Garante sia quelli esclusi, disponendo che il titolare è tenuto a notificare al Garante il trattamento solo se questo riguarda determinate tipologie di dati.
I trattamenti soggetti a notifica sono elencati al comma 1 dell’articolo 37, del decreto legislativo 196/2003. Tale elenco non deve considerarsi tassativo, in quanto il Garante può individuare tramite provvedimento altri trattamenti soggetti a notifica.
Trattamenti soggetti a notifica
Esaminiamo quali sono le tipologie di dati per le quali bisogna effettuare una notifica.
Dati genetici o biometrici
Sono esonerati da tale notifica coloro che esercitano le professioni sanitarie e gli avvocati e, naturalmente, il trattamento non deve recare pregiudizio ai diritti e alle libertà dell’interessato. L’esonero opera inoltre per l’attività svolta da medici titolari di un trattamento in materia di igiene e sicurezza del lavoro e della popolazione.
La biometria è la tecnica di identificazione automatica o di verifica dell’identità di un soggetto sulla base di caratteristiche fisiche o comportamentali.
Rilevamento di posizione geografica
Dati che indicano la posizione geografica di persone o oggetti mediante una rete di comunicazione elettronica. La norma si riferisce alla localizzazione di persone o oggetti, alla rilevazione della loro presenza in determinati luoghi, mediante reti di comunicazione elettronica gestite o accessibili dal titolare del trattamento.
La localizzazione va notificata solo quando permette di individuare in maniera continuativa la presenza, in un’area geografica, di una persona in base ad apparecchiature o dispositivi elettronici detenuti dal titolare o dalla persona oppure collocati sugli oggetti.
La localizzazione deve permettere di risalire all’identità degli interessati, anche indirettamente attraverso appositi codici. Non devono essere quindi notificati al Garante i trattamenti di dati personali che consentano solo una rilevazione non continuativa del passaggio o della presenza di persone o oggetti, effettuata, ad esempio, all’atto della:
- Registrazione di ingressi o uscite presso luoghi di lavoro, ad esclusione della registrazione effettuato con dati biometrici ( perché in tal caso la notificazione è necessaria).
- Lettura di carte elettroniche per fornire beni, prestazioni o servizi quali, ad esempio, carte di pagamento, carte di credito o di fidelizzazione, tuttavia i dati non devono essere rilevati con strumenti elettronici volti ad analizzare abitudini o scelte di consumo, poiché in tal caso la notificazione è necessaria.
Salute, psiche, sfera sessuale
Dati idonei a rilevare lo stato di salute, la vita sessuale, la sfera psichica della persona ad eccezione del caso in cui siano effettuati nell’ambito di servizi di assistenza o consultazione sanitaria per via telefonica, come i servizi telefonici gestiti in ambito assicurativo e che consentono il consulto di esercenti professioni sanitarie, oppure in materia di rapporto di lavoro e di previdenza, se i dati sono stati raccolti perché deve adempiere a specifici obblighi stabiliti in sede di contrattazione collettiva e giuridicamente rilevanti in base alla normativa in materia.
Abitudini
Dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, analizzando le sue abitudini, le sue scelte, la sua propensione al consumo quando permettono di individuare le preferenze di singoli interessati od utenti individuati nominativamente o identificabili anche indirettamente attraverso appositi codici. Non è necessaria la notificazione dei trattamenti di dati effettuati al solo fine di:
- Fornire all’interessato beni, prestazioni o servizi, con l’ausilio di strumenti elettronici finalizzati alla gestione del relativo rapporto e dei connessi adempimenti contabili o fiscali, all’invio di eventuali comunicazioni informative commerciali e al controllo della qualità di servizi offerti senza procedere ad alcuna profilazione degli interessati;
- Verificare l’identità o il profilo di autorizzazione di utenti o incaricati nell’ambito di sistemi di autenticazione informatica o di autorizzazione per l’accesso a dati o sistemi (ad esempio, per accedere ad una banca di dati personali o a determinati contenuti di un sito Web).
- Registrare gli accessi ad un sito web, se i dati sono memorizzati esclusivamente per il tempo tecnicamente indispensabile ai fini di sicurezza del sistema o per elaborazione statistica in forma anonima.
Monitoraggio economico
Dati registrati in apposite banche dati ai fini ai fini di monitorare la solvibilità economica e il corretto adempimento di obbligazioni, o il comportamento illecito e fraudolento di una persona fisica o giuridica, ad esclusione:
- Dei trattamenti relativi a clienti o fornitori effettuati da liberi professionisti od organismi (CAAF) per adempimenti fiscali (p.es.: in qualità di intermediari necessari per presentare le dichiarazione dei redditi) o contabili (p.es.: redazione di bilanci), oppure per svolgere investigazioni difensive o curare la difesa in sede giudiziaria di diritti degli assistiti;
- Dei trattamenti relativi ad obbligazioni, comportamenti illeciti o fraudolenti che non devono essere notificati in quanto trattati solo per adempiere ad obblighi normativi in materia di rapporto di lavoro, previdenza o assistenza, comprendono quelli concernenti eventuali obblighi derivanti dalla contrattazione collettiva, giuridicamente rilevanti in base alla normativa in materia;
- Dei dati registrati in banche di dati utilizzate in rapporti con l’interessato di fornitura di beni, prestazioni o servizi, o per adempimenti contabili o fiscali, anche in caso di inadempimenti contrattuali, azioni di recupero del credito e contenzioso con l’interessato;
Dati all’estero
È da notificare anche il trattamento quando comporta il trasferimento di dati all’estero.
L’adempimento della notifica
In linea generale nei punti appena descritti sono stati indicati i casi in cui la notifica è necessaria. Esaminiamo ora come deve essere fatta.
Il soggetto obbligato ad effettuare la notificazione al Garante è il titolare del trattamento, la notificazione deve essere effettuata prima dell’inizio del trattamento e può riguardare anche uno o più trattamenti con finalità correlate. Nella notifica devono essere riportate le seguenti informazioni: estremi del titolare, i luoghi dove sono conservati i dati e le misure di sicurezza adottare per la loro tutela, ambito di comunicazione e di diffusione dei dati, finalità e modalità del trattamento, categorie degli interessati a cui si riferiscono i dati, trasferimento di dati all’estero, la banca dati a cui si riferisce il trattamento.
La compilazione e l’invio della notifica deve essere effettuata solo in via telematica utilizzando il modello predisposto dal Garante e seguendo le indicazioni e le prescrizioni impartite.
La prima fase per accedere alla procedura di compilazione è quella di collegarsi al sito del Garante della Privacy all’indirizzo http://www.garanteprivacy.it, selezionare la voce notifica al garante presente sulla sinistra della homepage e seguire le istruzioni.
I diritti di cancelleria dovuti per la notifica sono pari a euro 150,00 e possono essere versati contestualmente alla compilazione della notificazione tramite carta di credito, o antecedentemente tramite bollettino postale o bonifico bancario (in questo caso nella compilazione verranno inseriti gli estremi del pagamento).
Dopo la compilazione online del modello questo deve essere sottoscritto con firma digitale. Anche questa operazione viene svolta direttamente online seguendo la procedura guidata di compilazione. Al termine dell’operazione di invio il Garante invierà all’indirizzo di posta elettronica indicato dal notificante un messaggio di conferma con l’indicazione del giorno e dell’ora di ricevimento. Verrà comunicato anche un ID da conservare per poter accedere in seguito alla notifica rilasciata per modificarla o per provvedere a notificare l’eventuale cessazione del trattamento.
Se non si possiede la firma digitale, necessaria per la sottoscrizione della notificazione, ci si può rivolgere ad un intermediario abilitato il cui elenco è presente sul sito http://www.garanteprivacy.it.
Su ogni notifica viene effettuato un controllo sia riguardo la veridicità della firma digitale sia sulla presenza di anomalie. Se vengono riscontrati dei problemi il Garante invia un messaggio con l’indicazione del problema e la richiesta di rettifica, viene inoltre assegnato un termine decorso il quale, se non è avvenuta la rettifica richiesta, la notifica viene cancellata dal registro.