Ancora su Privacy e notificazione al Garante… - Parte I

Verso le 7.30 di questa mattina come ogni giorno abbiamo acquistato la solita copia di Italia Oggi e subito ci è scivolato lo sguardo, ancora sonnecchiante, su una notizia in bell’evidenza in prima pagina: "La Privacy stressa le imprese. Obbligo di notifica. Da ripetere entro aprile. La gestione della banca dati dei clienti costringe all’adempimento"!

Sotto accusa la lett. f) dell’art. 37 del cosiddetto Codice della Privacy (D.lgs. 196/2003). Condanna: "fa rientrare nell’obbligo di notificazione tendenzialmente tutte le imprese e gli altri soggetti economici".

È questo in estrema sintesi il contenuto di un intervento, apparso su ItaliaOggi del 3 marzo 2004, che ci induce a qualche (più pacata) riflessione sul tema della notificazione al Garante, adempimento previsto dagli articoli 37 e 38 del decreto legislativo n. 196/2003…ci sia consentito di dire che a volte si esagera un po’ con il "sensazionalismo", provocando un certo (forse inconsapevole) "terrorismo psicologico" in tema di privacy (anche se si sa bene che i titoloni sui giornali non vengono inseriti dagli autori degli articoli e non sempre coincidono con il reale contenuto degli stessi).

Non appaiono per nulla condivisibili, infatti, le conclusioni cui giunge A. Ciccia, autore del citato intervento (e comunque stimato professionista molto attento a queste tematiche), in quanto mal si conciliano con la mens legis e, infatti, si finisce per porre a carico delle imprese l’onere di ottemperare ad obblighi in realtà previsti solo per specifiche ipotesi e non già in via generale.

Punto di partenza del nostro argomentare è la consapevolezza di una sorta di inversione di rotta del legislatore in tema di notificazione al Garante. Dal dettato dell’art. 7 della ormai abrogata legge 675/96 all’art. 37 del Codice l’obbligo della notificazione, infatti, ha completamente mutato la sua fisionomia passando da ‘regola’ ad ‘eccezione’ secondo un divenire progressivo - dettato nel corso degli anni da un legislatore attento alle critiche da più parti mosse al citato art. 7 della legge n. 675/96 - che è passato attraverso il decreto legislativo 255/97, prima, e il decreto legislativo 467/01, poi.

A ben vedere su questo punto si può dire vi sia concordia in dottrina e persino comunione di veduta da parte nostra con quanto riportato nell’articolo di ItaliaOggi ove correttamente si afferma "con il codice della privacy solo chi effettua uno dei trattamenti indicati nell’art. 37 citato è obbligato a notificare. Tutti gli altri sono esonerati. L’obiettivo è quello di ridurre al minimo indispensabile questo adempimento e in particolare riservandolo ai casi di maggiore pericolo per le ragioni di tutela della riservatezza".

Alla luce di queste premesse occorre sciogliere il nodo interpretativo che in questa sede ci occupa (e preoccupa!), ovvero analizzare contenuto e limiti della lett. f) del menzionato art. 37.

La norma testualmente recita "Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda: … f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti".

Da tale disposto normativo deriverebbe, secondo l’analisi fornita dall’autore dell’intervento apparso su ItaliaOggi, l’obbligo "a notificare e rinotificare i trattamenti di dati gestiti con strumenti elettronici relativi all’adempimento di obbligazioni. Rientra in questa categoria per esempio la banca dati clienti, gestita da un’impresa al fine di verificare se sono state onorate le fatture o comunque pagati i corrispettivi".

Sia consentito a chi scrive dissentire da questa interpretazione e, quindi, ricostruire l’esatto significato della norma aderendo a quella corrente dottrinale ( cfr. S. Orlandi, Gli adempimenti per i titolari dei trattamenti, in R. Acciai, Il diritto alla protezione dei dati personali, Maggioli ed. 2004, 197) che ne limita l’operatività alle cosidette "centrali rischi" intese come "banche dati negative o <liste nere>, in quanto registrano soltanto dati personali relativi a morosità o altre situazioni ritenute meritevoli di annotazione, unitamente alla segnalazione di sofferenze o dell’esistenza di azioni legali, procedure concorsuali o cessioni del credito a terzi", ovvero che "gestiscono … sistemi di tipo positivo/negativo, raccogliendo informazioni sul rapporto di finanziamento, a partire dalla richiesta dell'interessato, indipendentemente dalla sussistenza di inadempimenti, per incentivare gli operatori finanziari ad una valutazione più ampia del rischio creditizio sulla base dell'osservazione di diversi comportamenti e situazioni personali del richiedente" (tali definizioni sono tratte dal Provvedimento del 31 luglio 2002 del Garante per la protezione dei dati personali rinvenibile sul sito www.garanteprivacy.it).

In questi casi sussiste l’obbligo della notificazione perché si tratta di particolari tipologie di dati – si pensi in particolare a quelli contenuti nelle cd. liste nere – che rivestono una natura particolarmente delicata alla luce delle gravissime conseguenze che ne deriverebbero al verificarsi di errori o inesattezze.

Non solo. Perché tale obbligo possa dirsi effettivamente operativo occorre anche la contestuale presenza di tutti gli elementi previsti dalla norma (S. Orlandi, cit., 212) e, quindi, l’esistenza di una banca dati, la sua gestione elettronica ed ovviamente il trattamento elettronico dei menzionati dati.

Infine, vale la pena ricordare che se è vero che la lett. f) fa riferimento ai "dati registrati" e non ai soli dati "sensibili" registrati – al contrario di quanto previsto dalla precedente lett. e) - tuttavia non può passare inosservata la qualificazione attribuita alle stesse banche dati. Infatti, la lettera della norma in proposito è piuttosto chiara: il legislatore fa riferimento a dati registrati in "apposite" banche dati, termine quest’ultimo che vale ad escludere l’operatività della norma in parola in tutti quei casi in cui sia solo occasionale il trattamento di dati inerenti alla solvibilità, e più in generale alle capacità economiche, del debitore.

Per questi motivi non appare corretto dire "vi è da chiedersi … se la banca dati apposita in cui si conservano i dati personali relativi al pagamento dei corrispettivi da parte dei propri clienti non integri proprio un caso fra quelli astrattamente previsti" per poi concludere, come si fa nell’articolo commentato, in senso positivo, perché in tal modo si dilata il significato del termine "apposite" fino a comprometterne la portata.

Sono da ritenersi "apposite" banche dati contenenti le informazioni sulla situazione patrimoniale dei debitori solo quelle proprie di titolari che facciano di tali banche l’oggetto precipuo della propria attività commerciale.

Insomma, non è pensabile che la legge chiami ad ottemperare all’obbligo della notificazione ogni singolo commerciante che conservi dati inerenti ai suoi clienti che lo debbano, per esempio, pagare ratealmente; in fin dei conti ogni impresa, ed ogni studio professionale, conserva (per ovvie ragioni contabili) quelle informazioni previste nella lettera f) dell’art. 37, ma non si tratta di certo di informazioni contenute in "apposite" banche dati.

Inoltre, occorre ricordare che già nella vecchia normativa, (quando vi era un obbligo generalizzato di notificazione) il trattamento di dati non era soggetto a notificazione quando (secondo l’art. 7 comma 5-ter lett. e) esso era finalizzato unicamente all’adempimento di specifici obblighi contabili. E sarebbe veramente poco chiara e difficilmente comprensibile una inversione di tendenza in tal senso da parte del nostro legislatore con il nuovo Codice! Addirittura gli stretti dati contabili relativi ad un rapporto commerciale in atto, a nostro avviso, potrebbero ricadere nell’esenzione dell’obbligo di acquisizione del previo consenso espresso, ai sensi delle lettere a) e b) dell’art. 24 comma primo, dove si dice espressamente: ". Il consenso non è richiesto, oltre che nei casi previsti nella Parte II, quando il trattamento:

a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;

b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato (…)". Né può ragionevolmente sostenersi che il legislatore da una parte ritenga le imprese esentate dall’obbligo di richiedere il consenso espresso e dall’altra ritenga però necessaria la notificazione!

(continua...)

Andrea Lisi e Maurizio De Giorgi

(*) Avvocato in Lecce, Studio Legale Lisi. Titolare, con il dr. Davide Diurisi, dello Studio associato D.&L., consulenza ICT&International Trade. Curatore del portale www.scint.it. Autore di numerose pubblicazioni in materia di diritto del commercio internazionale e diritto delle nuove tecnologie. Direttore Scientifico del Corso di Alta Formazione in Diritto&Economia del Commercio Elettronico Internazionale.
(**) Avvocato in Lecce, Studio Legale Lisi. Collabora con il Centro Studi&Ricerche SCiNT. Autore di numerosi saggi giuridici di approfondimento pubblicati on-line su diversi siti. Coautore con l'avv. Lisi del volume "Guida al codice della privacy", Simone ed. 2003.