Privacy e notificazione al Garante, quando si esagera a parlare di stress per le imprese: verso le 7.30 di questa mattina come ogni giorno abbiamo acquistato la solita copia di Italia Oggi e subito ci e’ scivolato lo sguardo, ancora sonnecchiante, su una notizia in bell’evidenza in prima pagina: La Privacy stressa le imprese. Obbligo di notifica. Da ripetere entro aprile. La gestione della banca dati dei clienti costringe all’adempimento”. Sotto accusa la lett. f) dell’art. 37 del cosiddetto Codice della Privacy (D.lgs. 196/2003). Condanna: fa rientrare nell’obbligo di notificazione tendenzialmente tutte le imprese e gli altri soggetti economici.

E’ questo in estrema sintesi il contenuto di un intervento, apparso su ItaliaOggi del 3 marzo 2004, che ci induce a qualche (piu’ pacata) riflessione sul tema della notificazione al Garante, adempimento previsto dagli articoli 37 e 38 del decreto legislativo n. 196/2003…ci sia consentito di dire che a volte si esagera un po’ con il “sensazionalismo”, provocando un certo (forse inconsapevole) “terrorismo psicologico” in tema di privacy (anche se si sa bene che i titoloni sui giornali non vengono inseriti dagli autori degli articoli e non sempre coincidono con il reale contenuto degli stessi).
Non appaiono per nulla condivisibili, infatti, le conclusioni cui giunge A. Ciccia, autore del citato intervento (e comunque stimato professionista molto attento a queste tematiche), in quanto mal si conciliano con la mens legis e, infatti, si finisce per porre a carico delle imprese l’onere di ottemperare ad obblighi in realta’ previsti solo per specifiche ipotesi e non gia’ in via generale.
Punto di partenza del nostro argomentare e’ la consapevolezza di una sorta di inversione di rotta del legislatore in tema di notificazione al Garante. Dal dettato dell’art. 7 della ormai abrogata legge 675/96 all’art. 37 del Codice l’obbligo della notificazione, infatti, ha completamente mutato la sua fisionomia passando da ‘regola’ ad ‘eccezione’ secondo un divenire progressivo – dettato nel corso degli anni da un legislatore attento alle critiche da piu’ parti mosse al citato art. 7 della legge n. 675/96 – che e’ passato attraverso il decreto legislativo 255/97, prima, e il decreto legislativo 467/01, poi.
A ben vedere su questo punto si puo’ dire vi sia concordia in dottrina e persino comunione di veduta da parte nostra con quanto riportato nell’articolo di ItaliaOggi ove correttamente si afferma “con il codice della privacy solo chi effettua uno dei trattamenti indicati nell’art. 37 citato e’ obbligato a notificare. Tutti gli altri sono esonerati. L’obiettivo e’ quello di ridurre al minimo indispensabile questo adempimento e in particolare riservandolo ai casi di maggiore pericolo per le ragioni di tutela della riservatezza”.
Alla luce di queste premesse occorre sciogliere il nodo interpretativo che in questa sede ci occupa (e preoccupa!), ovvero analizzare contenuto e limiti della lett. f) del menzionato art. 37.

La norma testualmente recita “Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda: … f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilita’ economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti”.
Da tale disposto normativo deriverebbe, secondo l’analisi fornita dall’autore dell’intervento apparso su ItaliaOggi, l’obbligo “a notificare e rinotificare i trattamenti di dati gestiti con strumenti elettronici relativi all’adempimento di obbligazioni. Rientra in questa categoria per esempio la banca dati clienti, gestita da un’impresa al fine di verificare se sono state onorate le fatture o comunque pagati i corrispettivi”.

Sia consentito a chi scrive dissentire da questa interpretazione e, quindi, ricostruire l’esatto significato della norma aderendo a quella corrente dottrinale (cfr. S. Orlandi, Gli adempimenti per i titolari dei trattamenti, in R. Acciai, Il diritto alla protezione dei dati personali, Maggioli ed. 2004, 197) che ne limita l’operativita’ alle cosidette “centrali rischi” intese come “banche dati negative o <liste nere>, in quanto registrano soltanto dati personali relativi a morosita’ o altre situazioni ritenute meritevoli di annotazione, unitamente alla segnalazione di sofferenze o dell’esistenza di azioni legali, procedure concorsuali o cessioni del credito a terzi”, ovvero che “gestiscono … sistemi di tipo positivo/negativo, raccogliendo informazioni sul rapporto di finanziamento, a partire dalla richiesta dell’interessato, indipendentemente dalla sussistenza di inadempimenti, per incentivare gli operatori finanziari ad una valutazione piu’ ampia del rischio creditizio sulla base dell’osservazione di diversi comportamenti e situazioni personali del richiedente” (tali definizioni sono tratte dal Provvedimento del 31 luglio 2002 del Garante per la protezione dei dati personali rinvenibile sul sito garanteprivacy.it).
In questi casi sussiste l’obbligo della notificazione perche’ si tratta di particolari tipologie di dati – si pensi in particolare a quelli contenuti nelle cd. liste nere – che rivestono una natura particolarmente delicata alla luce delle gravissime conseguenze che ne deriverebbero al verificarsi di errori o inesattezze.
Non solo. Perche’ tale obbligo possa dirsi effettivamente operativo occorre anche la contestuale presenza di tutti gli elementi previsti dalla norma (S. Orlandi, cit., 212) e, quindi, l’esistenza di una banca dati, la sua gestione elettronica ed ovviamente il trattamento elettronico dei menzionati dati.
Infine, vale la pena ricordare che se e’ vero che la lett. f) fa riferimento ai “dati registrati” e non ai soli dati “sensibili” registrati – al contrario di quanto previsto dalla precedente lett. e) – tuttavia non puo’ passare inosservata la qualificazione attribuita alle stesse banche dati. Infatti, la lettera della norma in proposito e’ piuttosto chiara: il legislatore fa riferimento a dati registrati in “apposite” banche dati, termine quest’ultimo che vale ad escludere l’operativita’ della norma in parola in tutti quei casi in cui sia solo occasionale il trattamento di dati inerenti alla solvibilita’, e piu’ in generale alle capacita’ economiche, del debitore.

Per questi motivi non appare corretto dire “vi e’ da chiedersi … se la banca dati apposita in cui si conservano i dati personali relativi al pagamento dei corrispettivi da parte dei propri clienti non integri proprio un caso fra quelli astrattamente previsti” per poi concludere, come si fa nell’articolo commentato, in senso positivo, perche’ in tal modo si dilata il significato del termine “apposite” fino a comprometterne la portata.
Sono da ritenersi “apposite” banche dati contenenti le informazioni sulla situazione patrimoniale dei debitori solo quelle proprie di titolari che facciano di tali banche l’oggetto precipuo della propria attivita’ commerciale.
Insomma, non e’ pensabile che la legge chiami ad ottemperare all’obbligo della notificazione ogni singolo commerciante che conservi dati inerenti ai suoi clienti che lo debbano, per esempio, pagare ratealmente; in fin dei conti ogni impresa, ed ogni studio professionale, conserva (per ovvie ragioni contabili) quelle informazioni previste nella lettera f) dell’art. 37, ma non si tratta di certo di informazioni contenute in “apposite”  banche dati.
Inoltre, occorre ricordare che gia’ nella vecchia normativa, (quando vi era un obbligo generalizzato di notificazione) il trattamento di dati non era soggetto a notificazione quando (secondo l’art. 7 comma 5-ter lett. e)  esso era finalizzato unicamente all’adempimento di specifici obblighi contabili. E sarebbe veramente poco chiara e difficilmente comprensibile una inversione di tendenza in tal senso da parte del nostro legislatore con il nuovo Codice! Addirittura gli stretti dati contabili relativi ad un rapporto commerciale in atto, a nostro avviso, potrebbero ricadere nell’esenzione dell’obbligo di acquisizione del previo consenso espresso, ai sensi delle lettere a) e b) dell’art. 24 comma primo, dove si dice espressamente: “Il consenso non e’ richiesto, oltre che nei casi previsti nella Parte II, quando il trattamento:
a) e’ necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;
b) e’ necessario per eseguire obblighi derivanti da un contratto del quale e’ parte l’interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato (…)”.
Ne’ puo’ ragionevolmente sostenersi che il legislatore da una parte ritenga le imprese esentate dall’obbligo di richiedere il consenso espresso e dall’altra ritenga pero’ necessaria la notificazione!

Un ulteriore rilievo deve essere poi appuntato all’articolo di cui si discute. Il riferimento e’ all’inciso secondo il quale le aziende sarebbero chiamate “a ripetere entro il 30 aprile 2004 la notificazione fatta a suo tempo”: anche in questo caso si tratta di una conclusione non condivisibile.
Principio generale da cui occorre partire e’ quello secondo il quale la notificazione deve essere eseguita prima che inizi il trattamento dei dati ed una sola volta, a prescindere dal numero delle operazioni e della durata del trattamento da effettuare, e puo’ anche riguardare uno o piu’ trattamenti con finalita’ correlate: cio’ valeva prima dell’entrata in vigore del codice della privacy e vale ancora oggi.

L’obbligo di rinotificare sorge solo in due espresse ipotesi previste dalla legge:
1) anteriormente alla cessazione del trattamento;
2) anteriormente al mutamento di taluno degli elementi da indicare nella notificazione medesima (art. 38 del codice).
Infine, l’art. 181 (rubricato Altre disposizioni transitorie) secondo il quale “Per i trattamenti di dati personali iniziati prima del 1 gennaio 2004, in sede di prima applicazione del presente codice: …c) le notificazioni previste dall’articolo 37 sono effettuate entro il 30 aprile 2004” va interpretato nel senso di ritenere che “per le attivita’ che erano gia’ in essere prima del 1° gennaio 2004, la notificazione si puo’ effettuare entro il 30 aprile 2004”.
Quindi, il termine del 30 aprile 2004 e’ da considerarsi termine massimo entro il quale chi abbia iniziato un’attivita’ senza il rispetto dell’obbligo della previa notificazione puo’ regolarizzare la propria posizione. Non si tratta quindi di un obbligo generalizzato.
Dopo queste brevi note ci sembra giusto riferire che il quadro normativo dettato con il decreto legislativo n. 196/03, sin dalle sue prime letture dottrinali si sta dimostrando piuttosto complesso ed articolato, originando (non di rado) veri e propri scontri interpretativi alimentati anche dall’incertezza connessa all’assenza di un consolidato orientamento giurisprudenziale.
A questo proposito si possono sollevare ragionevoli dubbi sulla scelta del legislatore di aver escluso dal novero degli strumenti attraverso i quali e’ possibile effettuare la notificazione il tradizionale invio con plico per raccomandata a/r (previsto dall’art. 7 l. n. 675/96) favorendo il solo invio telematico, utilizzando il modello predisposto dal Garante e osservando le prescrizioni da questi impartite anche per quanto riguarda le modalita’ di sottoscrizione con firma digitale e di conferma del ricevimento della notificazione (comunque, il Garante potra’ individuare altro idoneo sistema per la notificazione in riferimento a nuove soluzioni tecnologiche previste dalla normativa vigente).
Il tradizionale strumento della raccomandata a/r certamente avrebbe portato a piu’ complesse operazioni di archivio da parte del Garante ma, al contempo, si sarebbe tradotto in una misura piu’ economica per quegli operatori tenuti realmente all’obbligo in parola e ancora sprovvisti di firma digitale.

Altrettanto foriera di dubbi interpretativi risultera’, a nostro avviso, la lettera d) dell’art. 37 secondo la quale sussiste l’obbligo di notificazione in caso di “dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalita’ dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti”.
Secondo alcuni l’obbligo andrebbe a ricadere su “chi si avvale di strumenti elettronici per la profilazione del consumatore (si pensi al sito aziendale che rilasci cookies)” (L. Giacopuzzi – Il rispetto della privacy per l’impresa).

A nostro avviso, in questo “periodo transitorio di rodaggio” della nuova disciplina occorre evitare di esasperare l’interpretazione di alcune norme che, almeno nello spirito, sono state pensate per semplificare e diminuire gli obblighi burocratici che erano previsti in capo alle imprese con la  vecchia legge 675/96; in ogni caso il dibattito in corso e’ sintomatico delle molte difficolta’ con cui si deve confrontare l’interprete a causa di una normazione che molte, troppe volte, continua ad essere farraginosa (si pensi al rebus rappresentato dalla disciplina della redazione del documento programmatico sulla sicurezza… ma questo e’ un altro capitolo e rimandiamo alle nostre considerazioni contenute nell’articolo “Documento Programmatico per la Sicurezza: rompicapo o risorsa aziendale?”
Per concludere, se e’ vero che qualsiasi norma (per la gioia di noi avvocati) puo’ essere liberamente interpretata e puo’ prestarsi alle piu’ elastiche applicazioni, non per questo si possono associare alla  lettera f) dell’art. 37 significati certamente non voluti, ne’ immaginati dal legislatore,  perche’ cio’ significherebbe travalicare uno dei compiti primari di noi giuristi e, cioe’, scavare nelle (a volte troppo) ambigue pieghe del tessuto normativo al fine di scovarne la natura teleologica.

Andrea Lisi, Maurizio de Giorgi
Corso di Alta Formazione post-graduate in Diritto & Economia del Commercio Elettronico Internazionale

Scritto da