Il Registro dei trattamenti: a cosa serve?

Il 30 aprile è scaduto il termine per la Notificazione all’Autorità Garante per il Trattamento dei Dati Personali dei trattamenti individuati nell’art. 37 del D.Lgs. 196/03 (nuovo Codice Privacy) e successivamente sfoltiti secondo le nuove disposizioni di cui ai provvedimenti del Garante 31.03.2004 e 26.04.2004.

Sono già state analizzate le non poche difficoltà affrontate per adempiere correttamente a tale misura tra cui la difficoltà a connettersi al Sito del Garante, i necessari requisiti della firma digitale e dell’invio telematico nonchè l’incomprensibilità di molte domande (cfr. Privacy e notificazione al Garante: una difficile formalità di LISI – DE GIORGI). 

E' del tutto naturale che, ora, le società e i professionisti che diligentemente hanno adempiuto a tale incombente si chiedano il recondito significato di una misura che - oltre ad aver portato via tempo (la compilazione poteva durare più ore per diverse giornate) e denaro (per i diritti versati nonché per probabili consulenze) - ha gli effetti immediati di rendere pubbliche alcune informazioni organizzative o commerciali e, non da ultimo, di esporre comunque il notificante a pesanti sanzioni in caso di errata compilazione.

Il Garante infatti ha dedicato una sezione del proprio sito al Registro dei trattamenti ove sono liberamente consultabili le Notificazioni ad oggi inviate per via telematica. E' quindi possibile vedere quali società ad esempio prestino servizi sanitari on line tramite la fornitura di medicinali, o quanti medici genetisti esercitino in una determinata provincia, o dove sono situate le banche dati di società che si occupano del rilevamento del rischio sulla solvibilità economica.

Tale Registro, che a ben vedere mette in piazza informazioni che molti potrebbero ritenere riservate in nome della privacy, secondo l’Autorità ha lo scopo di offrire “un ausilio indispensabile al Garante per monitorare in maniera efficace il panorama dei trattamenti oggetto di notificazione, allo scopo di consentire sia il controllo da parte degli interessati, sia quello da parte della stessa Autorità, che può sfociare anche nell’adozione di specifici provvedimenti ad opera del Garante” (Relazione 2003, Garante Privacy, pag. 164).

E' pertanto doveroso chiarire che la Notificazione del trattamento non è certo una sicura garanzia dell’attuazione di misure a tutela degli Interessati, ma serve solo ad individuare chi compie trattamenti di dati ritenuti più "pericolosi" di altri. Potrebbe infatti accadere che una società pur avendo provveduto alla Notificazione - e avendo in tale sede dichiarato di essere in regola con le misure imposte dal Codice - in realtà trascuri del tutto l’applicazione delle misure minime prescritte dall’Allegato B del D.Lgs. 196/03.

Posto che l’effetto di agevolare l’attività investigativa sarebbe stato ugualmente raggiunto rendendo disponibile il Registro delle Notificazioni al solo Ufficio del Garante, ed evitando quindi la diffusione dei dati, non si comprende quale forma di tutela possa avere l’interessato dal controllo esercitabile tramite la consultazione del Registro delle Notificazioni.

E' alquanto improbabile che un cliente si preoccupi di controllare se un supermercato ha effettuato la Notificazione prima di conferire a quest’ultimo il consenso al trattamento attinente ad una iniziativa promozionale legata ad una fidelity card. E anche se ciò fosse, non potrebbe acquisire nessuna informazione in più di quanto già comunicato nell’Informativa che il supermercato è costretto comunque a rilasciare.

La Notificazione pertanto si riduce ad un adempimento meramente formale e burocratico, che l’azienda percepisce come inutile se non fastidioso, anche per le conseguenze che può avere il rendere pubbliche le informazioni riportate nel modulo predisposto dal Garante.
Infatti vi sono alcune informazioni la cui diffusione tramite il Registro delle Notificazioni potrebbero arrecare potenziali danni all’attività imprenditoriale.

Ad esempio, una società che investe nella progettazione di brevetti industriali può valutare importante non far sapere alla diretta concorrente, per evitare la parassitaria imitazione dell’iniziativa, di aver implementato la protezione dei propri segreti con un sistema di identificazione degli accessi  basato sul rilevamento delle impronte digitali dei propri dipendenti.
O ancora: il rendere pubblica l’ubicazione di una banca dati  di profili di consumo, o di rilevamento della solvibilità economica, o di dati genetici, può indebolire la sicurezza di una società che magari tanto ha investito per la tutela del proprio patrimonio.
E molti altri potrebbero essere gli esempi dei comportamenti imprenditoriali che possono essere svelati con un’attenta lettura delle Notificazioni pubblicate nel Registro.

Avv. Marco Secco www.avvocati-msg.it