TUTELA DELLA PRIVACY-LEGGE 31 DICEMBRE 1996, N TUTELA DELLA PRIVACY-LEGGE 31 DICEMBRE 1996, N. 675 – NOTIFICAZIONI SEMPLIFICATE ED ESONERI

Con decreto legislativo 28 luglio 1997, n. 255 sono stati modificati i termini per la presentazione delle notificazioni al Garante per la protezione dei dati personali previste dagli art. 7 e 28 della legge 31 dicembre 1996, n. 675 ed è stata introdotta una disciplina di notifica in forma semplificata ed un’altra attinente ai casi in cui il trattamento non è soggetto a notificazione.
Si forniscono di seguito ulteriori indicazioni esplicative in argomento. Per comodità di consultazione, è riprodotto il testo dell’art. 7, che reca la disciplina della notificazione, come integrato dalle disposizioni di cui all’art. 1 del decreto n. 255/1997.
1) I TERMINI PER LA NOTIFlCAZlONE
Come noto, per quanto riguarda il termine entro il quale deve essere effettuata la notificazione occorre distinguere tra:

– i trattamenti di dati personali iniziati prima del 1º gennaio 1998;

– i trattamenti di dati personali iniziati a partire dal 1º gennaio 1998.

In ordine ai primi, le notificazioni prescritte dagli articoli 7 e 28 (quest’ultimo regola il trasferimento di dati personali all’estero) devono essere effettuate dal 1º gennaio 1998 al 31 marzo 1998; per i trattamenti di cui all’articolo 5 (trattamento di dati svolto senza l’ausilio di mezzi elettronici) riguardanti dati diversi da quelli di cui agli articoli 22 (dati sensibili) e 24 (dati relativi ai provvedimenti di cui all’art. 686 c.p.p.), nonché per quelli di cui all’art. 4, comma 1, lettere c), d) ed e) (particolari trattamenti in ambito pubblico) la notifica deve essere effettuata dal 1º aprile 1998 al 30 giugno 1998.
È importante ricordare che, come si evince anche dalla relazione di presentazione del decreto legislativo n. 255, per “trattamento di dati personali iniziato prima del 1º gennaio 1998” va considerato anche quello che presupponga, dopo il 31 dicembre 1997, I’innesto di nuovi dati in un archivio già attivato, ovvero il compimento di nuove operazioni di registrazione, selezione, comunicazione ecc. nel quadro di una attivita’ di trattamento gia’ in atto, nel suo complesso, alla suddetta data del 31 dicembre 1997.
Invece, per i trattamenti di dati personali iniziati a partire dal 1º gennaio 1998, vale la regola generale contenuta nell’art.7, 1º e 2º comma, per cui la notificazione deve essere effettuata preventivamente ed una sola volta, a mezzo di lettera raccomandata ovvero con altro mezzo idoneo a certificarne la ricezione, a prescindere dal numero delle operazioni da svolgere, nonche’ dalla durata del trattamento e puo’ riguardare uno o piu’ trattamenti con finalita’ correlate. Una nuova notificazione e’ richiesta solo se muta taluno degli elementi indicati nel comma 4 e deve precedere l’effettuazione della variazione.
Oltre alla modifica dei termini, come sopra ricordato il decreto legislativo 28 luglio 1997, n. 255 reca anche una integrazione della disciplina della notificazione, la quale risulta applicabile, dato il suo carattere di generalita’, a tutti i trattamenti indipendentemente dall’epoca del relativo inizio. Le novità al riguardo sono illustrate ai successivi punti 2 e 3.
2) NOTIFICAZIONE IN FORMA SEMPLIFICATA
La notificazione in forma semplificata, prevista dal comma 5-bis dell’art. 7, della legge n. 675, interessa solo marginalmente le categorie produttive.
Infatti, a parte i soggetti pubblici, esclusi gli enti pubblici economici e coloro che esercitano la professione di giornalista, per l’esclusivo perseguimento delle relative finalita’, per le imprese la normativa prevede solo l’opportunita’ di far ricorso alla notificazione in forma semplificata limitatamente ai casi di trattamenti effettuati temporaneamente senza l’ausilio di mezzi elettronici o comunque automatizzati, ai soli fini e con le modalita’ strettamente collegate all’organizzazione interna dell’attivita’ esercitata dal titolare, relativamente a dati non registrati in una banca di dati e diversi da quelli di cui agli articoli 22 (dati sensibili) e 24 (dati relativi ai provvedimenti di cui all’art. 686 c.p.p.): in tal caso, la semplificazione consisterebbe nel fatto che la notificazione puo’ non contenere taluno degli elementi di cui al comma 4, che per comodita’ di lettura sono qui appresso riportati e che saranno oggetto di ulteriore specificazione da parte del Garante all’ atto dell’emanazione del regolamento di cui all’ articolo 33, comma 3, legge n. 675:

lettera b) le finalita’ e modalita’ del trattamento;

lettera c) la natura dei dati, il luogo ove sono custoditi e le categorie di interessati cui i dati si riferiscono;

lettera e) i trasferimenti di dati previsti verso Paesi non appartenenti all’Unione europea o, qualora, riguardino taluno dei dati di cui agli articoli 22 e 24, fuori del territorio nazionale;

lettera g) I’indicazione della banca di dati o delle banche di dati cui si riferisce il trattamento, nonche’ I’eventuale connessione con altri trattamenti o banche di dati, anche fuori del territorio nazionale.
3) CASI Dl ESONERO DALLA NOTIFICAZIONE
Il comma 5-ter enumera 15 tipologie di trattamenti non soggette a notificazione, la maggior parte delle quali assume particolare rilevanza per gli interessi delle imprese .
Per avvalersi dell’esonero non e’ sufficiente tuttavia che il trattamento rientri in una delle suddette tipologie, ma e’ altresi’ necessario rispettare quanto previsto dal successivo comma 5-quater, e cioe’ il trattamento deve riguardare unicamente le finalita’, le categorie di dati, di interessati e di destinatari della comunicazione e diffusione, unitamente al periodo di conservazione dei dati, individuate dal medesimo comma 5-ter.
Ove detta norma – nelle varie ipotesi in cui si articola – non contenga una tale individuazione, come avviene ad esempio nel caso indicato dalla lettera a) (il trattamento e’ necessario per l’assolvimento di un compito previsto dalla legge, da un regolamento o dalla normativa comunitaria, relativarnente a dati diversi da quelli indicati negli articoli 22 e 24 della legge n. 675), I’individuazione di cui sopra dovra’ figurare nelle disposizioni di legge o di regolamento o dalla normativa comunitaria ivi indicate.
Nei casi residui – e cioe’ ove alcuna disposizione normativa, ne’ il comma 5-ter, ne’ alcuna delle fonti di rinvio menzionate dalla lettera a) del medesimo comma 5-ter, contenga la necessaria individuazione delle finalita’, delle categorie di dati, di interessati e di destinatari della comunicazione e diffusione, unitamente al periodo di conservazione dei dati – si potra’ far ricorso all’esonero solo previa autorizzazione del Garante, rilasciata per categorie di titolari o di trattamenti, con le modalita’ previste dall’articolo 41, comma 7, ovvero, per i dati diversi da quelli di cui agli articoli 22 e 24, con provvedimenti analoghi.
È da evidenziare che, ai sensi del comma 5-quinquies, il titolare che si avvale dell’esonero di cui al comma 5-ter e’ comunque tenuto a fornire gli elementi di cui al comma 4 a chiunque ne faccia richiesta.
Le ipotesi di esonero di particolare interesse per le imprese sono contemplate dalle lettere c), e) e g) del comma 5-ter concernenti, rispettivamente:

– la gestione del protocollo, relativamente ai dati necessari per la classificazione della corrispondenza inviata per fini diversi da quelli di cui all’articolo 13, comma 1, lettera e), con particolare riferimento alle generalita’ e ai recapiti degli interessati, alla loro qualifica e all’organizzazione di appartenenza;
– l’adempimento di specifici obblighi contabili, retributivi, previdenziali, assistenziali e fiscali, effettuato con riferimento alle sole categorie di dati, di interessati e di destinatari della comunicazione e diffusione strettamente collegate a tale adempimento, conservando i dati non oltre il periodo necessario all’adempimento medesimo;
– l’attivita’ dei piccoli imprenditori di cui all’articolo 2083 del Codice civile (coltivatori diretti del fondo, artigiani, piccoli commercianti e coloro che esercitano un’attività professionale organizzata prevalentemente con il iavoro proprio e dei componenti della famiglia) per le sole finalita’ strettamente collegate allo svolgimento dell’attivita’ professionale esercitata, e limitatamente alle categorie di dati, di interessati, di destinatari della comunicazione e diffusione e al periodo di conservazione dei dati necessari per il perseguimento delle finalita’ medesime.

Tali ipotesi, ove relative a “dati sensibili” richiederanno il consueto intervento autorizzatorio del Garante in base agli artt. 22 e 41, comma 7 (si rammenta che le disposizioni che richiedono un’autorizzazione del Garante trovano applicazione dal 30 novembre 1997); ove relative a “dati comuni”, non dovrebbero comportare, ad una prima analisi del testo, il ricorso ai “provvedimenti analoghi” del Garante previsti dal comma 5-quater, lettera c) dal momento che le specifiche previsioni in questione del comma 5-ter appaiono tali da consentire la immediata individuazione delle finalita’, delle categorie di dati, di interessati e di destinatari della comunicazione e diffusione, unitamente al periodo di conservazione dei dati.
Dato, peraltro, il rilievo penale dell’omissione della notificazione, appare prudente conformare il proprio comportamento alle indicazioni che al riguardo saranno presumibilmente fornite dall’Ufficio dell’Autorita’ Garante.
È opportuno evidenziare che la nuova disciplina in materia di semplificazione e di esonero della notificazione lascia fermi gli obblighi di informativa degli interessati e di acquisizione del consenso, ove necessario.
È, da ultimo, utile informare che – sulla base di recenti contatti informali tra gli Uffici di Confindustria e quelli dell’Autorita’ Garante – risultano in avanzata fase di elaborazione sia il regolamento previsto dal comma 3 dell’art. 33 della legge n. 675, che dovra’ precisare, tra l’altro, le modalita’ dell’effettuazione della notificazione di cui all’articolo 7, per via telematica o mediante supporto magnetico o lettera raccomandata con avviso di ricevimento o altro idoneo sistema, sia l’atteso provvedimento di autorizzazioni “standardizzate” relative a determinate categorie di titolari di trattamenti, introdotte dall’art. 4 del decreto legislativo 9 maggio 1997, n. 123

Art. 7, legge 31 dicembre 1996, n. 675
Testo integrato con le disposizioni
di cui all’art. 1. decreto legislativo n. 255/1997:

1. Il titolare che intenda procedere ad un trattamento di dati personali soggetto al campo di applicazione della presente legge e’ tenuto a darne notificazione al Garante.

2. La notificazione e’ effettuata preventivamente ed una sola volta, a mezzo di lettera raccomandata ovvero con altro mezzo idoneo a certificarne la ricezione, a prescindere dal numero delle operazioni da svolgere, nonche’ dalla durata del trattamento e puo’ riguardare uno o piu’ trattamenti con finalita’ correlate. Una nuova notificazione e’ richiesta solo se muta taluno degli elementi indicati nel comma 4 e deve precedere l’effettuazione della variazione.

3. La notificazione e’ sottoscritta dal notificante e dal responsabile del trattamento.

4. La notificazione contiene:
a) il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del titolare;
b) le finalita’ e modalita’ del trattamento;
c) la natura dei dati, il luogo ove sono custoditi e le categorie di interessati cui i dati si riferiscono;
d) l’ambito di comunicazione e di diffusione dei dati;
e) i trasferimenti di dati previsti verso Paesi non appartenenti all’Unione europea o, qualora, riguardino taluno dei dati di cui agli articoli 22 e 24, fuori del territorio nazionale;
f) una descrizione generale che permetta di valutare l’adeguatezza delle misure tecniche ed organizzative adottate per la sicurezza dei dati;
g) l’indicazione della banca di dati o delle banche di dati cui si riferisce il trattamento, nonche’ l’eventuale connessione con altri trattamenti o banche di dati, anche fuori del territorio nazionale;
h) il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del responsabile; in mancanza di tale indicazione si considera responsabile il notificante;
i) la qualita’ e la legittimazione del notificante.

5. I soggetti tenuti ad iscriversi o che devono essere annotati nel registro delle imprese di cui all’articolo 2188 del codice civile, nonche’ coloro che devono fornire le informazioni di cui all’articolo 8, comma 8, lettera d), della legge 29 dicembre 1993, n. 580, alle camere di commercio, industria, artigianato e agricoltura, possono effettuare la notificazione per il tramite di queste ultime, secondo le modalita’ stabilite con il regolamento di cui all’articolo 33, comma 3.
I piccoli imprenditori e gli artigiani possono effettuare la notificazione anche per il tramite delle rispettive rappresentanze di categoria; gli iscritti agli albi professionali anche per il tramite dei rispettivi ordini professionali. Resta in ogni caso ferma la disposizione di cui al comma 3.

5-bis. La notificazione in forma semplificata puo’ non contenere taluno degli elementi di cui al comma 4, lettere b), c), e) e g), individuati dal Garante ai sensi del regolamento di cui all’articolo 33, comma 3, quando il trattamento e’ effettuato:
a) da soggetti pubblici, esclusi gli enti pubblici economici, sulla base di espressa disposizione di legge ai sensi degli articoli 22, comma 3 e 24, ovvero del provvedimento di cui al medesimo articolo 24.
b) Nell’esercizio della professione di giornalista e per l’esclusivo perseguimento delle relative finalita’, ovvero dai soggetti indicati nel comma 4-bis dell’articolo 25, nel rispetto del codice di deontologia di cui al medesimo articolo.
c) Temporaneamente senza l’ausilio di mezzi elettronici o comunque automatizzati, ai soli fini e con le modalita’ strettamente collegate all’organizzazione interna dell’attivita’ esercitata dal titolare, relativamente a dati non registrati in una banca di dati e diversi da quelli di cui agli articoli 22 e 24.

5-ter. Fuori dei casi di cui all’articolo 4, il trattamento non e’ soggetto a notificazione quando:
a) e’ necessario per l’assolvimento di un compito previsto dalla legge, da un regolamento o dalla normativa comunitaria, relativamente a dati diversi da quelli indicati negli articoli 22 e 24.
b) Riguarda dati contenuti o provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalita’ di cui all’articolo 20, comma 1, lettera b).
c) E’ effettuato per esclusive finalita’ di gestione del protocollo, relativamente ai dati necessari per la classificazione della corrispondenza inviata per fini diversi da quelli di cui all’articolo 13, comma 1, lettera e), con particolare riferimento alle generalita’ e ai recapiti degli interessati, alla loro qualifica e all’organizzazione di appartenenza.
d) Riguarda rubriche telefoniche o analoghe non destinate alla diffusione, utilizzate unicamente per ragioni d’uffficio e di lavoro e comunque per fini diversi da quelli di cui all’articolo 13, comma 1, lettera e).
e) E’ finalizzato unicamente all’adempimento di specifici obblighi contabili, retributivi, previdenziali, assistenziali e fiscali, ed e’ effettuato con riferimento alle sole categorie di dati, di interessati e di destinatari della comunicazione e diffusione strettamente collegate a tale adempimento, conservando i dati non oltre il periodo necessario all’adempimento medesimo.
f) E’ effettuato, salvo quanto previsto dal comma 5-bis, lettera b) da liberi professionisti iscritti in albi o elenchi professionali, per le sole finalita’ strettamente collegate all’adempimento di specifiche prestazioni e fermo restando il segreto professionale.
g) Dai piccoli imprenditori di cui all’articolo 2083 del codice civile per le sole finalita’ strettamente collegate allo svolgimento dell’attivita’ professionale esercitata, e limitatamente alle categorie di dati di interessati, di destinatari della comunicazione e diffusione e al periodo di conservazione dei dati necessari per il perseguimento delle finalita’ medesime.
h) E’ finalizzato alla tenuta di albi o elenchi professionali in conformita’ alle leggi e ai regolamenti.
i) E’ effettuato per esclusive finalita’ dell’ordinaria gestione di biblioteche, musei e mostre, in conformita’ alle leggi e ai regolamenti, ovvero per la organizzazione di iniziative culturali o sportive o per la formazione di cataloghi e bibliografie.
l) E’ effettuato da associazioni, fondazioni, comitati anche a carattere politico, filosofico, religioso o sindacale, ovvero da loro organismi rappresentativi, istituiti per scopi non di lucro e per il perseguimento di finalita’ lecite, relativamente a dati inerenti agli associati e ai soggetti che in relazione a tali finalita’ hanno contatti regolari con l’associazione, la fondazione, il comitato o l’organismo, fermi restando gli obblighi di informativa degli interessati e di acquisizione del consenso, ove necessario.
m) E’ effettuato dalle organizzazioni di volontariato di cui alla legge 11 agosto 1991, n. 266, nei limiti di cui alla lettera l) e nel rispetto delle autorizzazioni e delle prescrizioni di legge di cui agli articoli 22 e 23.
n) E’ effettuato temporaneamente ed e’ finalizzato esclusivamente alla pubblicazione o diffiusione occasionale di articoli, saggi e altre manifestazioni del pensiero, nel rispetto del codice di cui all’articolo 25.
o) E’ effettuato, anche con mezzi elettronici o comunque automatizzati, per la redazione di periodici o pubblicazioni aventi finalita’ di informazione giuridica, relativamente a dati desunti da provvedimenti dell’autorita’ giudiziaria o di altre autorita’.
p) E’ effettuato temporaneamente per esclusive finalita’ di raccolta di adesioni a proposte di legge d’iniziativa popolare, a richieste di referendum a petizioni o ad appelli.
q) E’ finalizzato unicamente all’amministrazione dei condomini di cui all’articolo 1117 e seguenti del Codice civile, limitatamente alle categorie di dati, di interessati e di destinatari della comunicazione necessarie per l’amministrazione dei beni comuni, conservando i dati non oltre il periodo necessario per la tutela dei corrispondenti diritti.

5-quater. Il titolare si puo’ avvalere della notificazione semplificata o dell’esonero di cui ai commi 5-bis e 5-ter, sempre che il trattamento riguardi unicamente le finalita’, le categorie di dati, di interessati e di destinatari della comunicazione e diffusione individuate, unitamente al periodo di conservazione dei dati, dai medesimi commi 5- bis e 5-ter, nonche’:
a) nei casi di cui ai commi 5-bis, lettera a) e 5-ter, lettere a) e m), dalle disposizioni di legge o di regolamento o dalla normativa comunitaria ivi indicate;
b) nel caso di cui al comma 5-bis, lettera b), dal codice di deontologia ivi indicato;
c) nei casi residui, dal Garante, con le autorizzazioni rilasciate con le modalita’ previste dall’articolo 41, comma 7, ovvero, per i dati diversi da quelli di cui agli articoli 22 e 24, con provvedimenti analoghi.

5-quinquies. Il titolare che si avvale dell’esonero di cui al comma 5-ter deve fornire gli elementi di cui al comma 4 a chiunque ne faccia richiesta.