La notificazione è regolata dagli articoli 37, 38 e 39 del Codice Privacy.
Il primo è relativo all’elenco dei trattamenti da notificare, il secondo alle modalità di notifica ed il terzo all’obbligo di comunicazione di particolari trattamenti.
Il Garante con il provvedimento del 31 marzo 2004, relativo ai casi da sottrarre all’obbligo di notificazione, con il parere del 23 aprile 2004, relativo a chiarimenti sui trattamenti da notificare, ed il parere del 26 aprile 2004, relativo alle notificazioni in ambito sanitario, ha stabilito i limiti di applicazione dell’articolo 37.
Per quali trattamenti è obbligatoria la notificazione
La notificazione deve essere presentata per i soli trattamenti che riguardano:
· dati genetici, biometrici…mediante una rete di comunicazione elettronica;
sono inclusi i trattamenti:
o effettuati dal gestore di una base dati on-line per qualunque finalità (ASL, aziende farmaceutiche, ecc.)
o effettuati da soggetti pubblici e privati, con l’accesso sistematico ad una base dati on-line (ospedali, case di cura e di riposo, laboratori di analisi cliniche, associazioni sportive, ecc.)
sono esclusi i trattamenti:
o non sistematici effettuati da esercenti le professioni sanitarie, anche associati legalmente o di fatto, indispensabili per perseguire finalità di tutela della salute o dell’incolumità fisica dell’interessato o di un terzo (studio medico di base, legale, del lavoro, telemedicina, ecc.)
o da avvocati, anche associati legalmente o di fatto, indispensabili per far valere o difendere un diritto dell’interessato o di un terzo in sede giudiziaria (studio legale)
o da soggetti pubblici e privati per finalità amministrative (es. rimborso delle prestazioni sanitarie specialistiche erogate)
· …dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;
sono inclusi i trattamenti:
o effettuati dal gestore di una base dati on-line per la costante localizzazione di persone (es. cellulari, antifurti satellitari, ecc.)
sono esclusi i trattamenti:
o di dati che indicano la posizione geografica di mezzi di trasporto aereo, navale e terrestre, effettuati esclusivamente a fini di sicurezza del trasporto
o che consentono solo una rilevazione saltuaria come, ad esempio: registrazione di ingressi o uscite dal posto di lavoro (badge), rilevazione o registrazione di passaggi (videosorveglianza), lettura di carte elettroniche per fornitura di beni o prestazione di servizi, senza alcuna profilazione (bancomat, carte di credito, fidelity card)
· dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fine di procreazione assistita, prestazione di servizi sanitari per via telematica…, fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;
sono inclusi i trattamenti:
o effettuati da coloro che erogano servizi sanitari per via telematica, relativi ad una banca dati od alla fornitura di beni (ASL, aziende farmaceutiche, ecc.)
sono esclusi i trattamenti:
o non sistematici effettuati da esercenti le professioni sanitarie, anche associati legalmente o di fatto, indispensabili per perseguire finalità di tutela della salute o dell’incolumità fisica dell’interessato o di un terzo (studio medico di base, specialistico, legale, del lavoro, telemedicina, ecc.)
o richiesti da disposizioni di legge (es. datori di lavoro nei confronti dei loro dipendenti)
· dati idonei a rivelare la vita sessuale e la sfera psichica trattati da associazioni , enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;
sono inclusi i trattamenti:
o delle associazioni, degli enti e degli organismi a carattere politico, filosofico, religioso o sindacale
sono esclusi i trattamenti:
o delle associazioni, degli enti e degli organismi che non hanno carattere politico, filosofico, religioso o sindacale, come, ad esempio, quelli che svolgono attività di ricovero e assistenza a malati psichici
o richiesti da disposizioni di legge (es. obblighi sindacali di cui alla legislazione del lavoro, obblighi di associazioni, enti ed organismi a carattere politico, filosofico o religioso nei confronti dei loro dipendenti)
· dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato o ad analizzare abitudini e scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica…
sono inclusi i trattamenti:
o dei gestori di software per la profilazione di persone identificate o identificabili
sono esclusi i trattamenti:
o dei soggetti pubblici e privati che forniscono beni e/o servizi finalizzando il trattamento ai soli scopi amministrativi, commerciali e qualitativi, senza procedere ad alcuna profilazione
o dei soggetti pubblici e privati che verificano l’identità od il profilo di autorizzazione per l’accesso a dati o sistemi, salvo che i dati registrati non siano biometrici
o dei soggetti pubblici e privati che registrano gli accessi ad un sito web, purché i dati siano memorizzati esclusivamente per il tempo necessario ai fini della sicurezza o dell’elaborazione statistica in forma anonima
· dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;
sono inclusi i trattamenti:
o delle aziende pubbliche e private che effettuano selezione del personale o ricerche di mercato per conto terzi
sono esclusi i trattamenti:
o delle aziende che effettuano selezione del personale per conto di soggetti appartenenti allo stesso gruppo bancario o societario
o dei soggetti pubblici che devono adempiere a specifici obblighi o compiti previsti dalla normativa in materia di occupazione e mercato del lavoro
o delle associazioni od organizzazioni di categoria che svolgono ricerche campionarie circa l’adesione alla stessa associazione od organizzazione
· dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti;
sono inclusi i trattamenti:
o effettuati dal gestore di una base dati on-line per le finalità sopraccitate
o di immagini o suoni che, benché registrati temporaneamente, siano inseriti in apposite banche di dati elettroniche relative a comportamenti illeciti o fraudolenti
o effettuati da soggetti privati concessionari di servizi di riscossione di tributi, salvo che siano stati nominati “responsabili del trattamento” dal soggetto pubblico, titolare del trattamento
sono esclusi i trattamenti:
o effettuati da soggetti pubblici per la tenuta di pubblici registri o elenchi conoscibili da chiunque
o effettuati da soggetti pubblici che utilizzano una banca dati elettronica per riscuotere tributi, applicare sanzioni amministrative o rilasciare licenze, concessioni o autorizzazioni
o effettuati da soggetti che utilizzano banche di dati centralizzate o sistemi informativi gestiti “autonomamente” da altri soggetti
o di dati registrati in banche dati utilizzate nei rapporti con l’interessato per adempimenti contabili o fiscali, anche in caso di inadempimenti contrattuali, azioni di recupero del credito e contenzioso
o relativi a clienti o fornitori effettuati da liberi professionisti od organismi (es. CAAF) per adempimenti fiscali (es. presentazione di UNICO) o contabili (es. redazione di bilanci), oppure per svolgere investigazioni difensive o difendere in sede giudiziaria i diritti dell’interessato
o relativi alla fornitura di beni e/o servizi, in fase contrattuale o pre-contrattuale, ed i conseguenti adempimenti contabili o fiscali
o di dati registrati in banche dati utilizzate da soggetti pubblici o privati per adempiere esclusivamente ad obblighi normativi in materia di lavoro, previdenza o assistenza
o di dati registrati in banche dati utilizzate da soggetti pubblici al solo fine della tenuta di atti, provvedimenti e documenti, in tema di riscossione di tributi, applicazione di sanzioni amministrative, o rilascio di licenze, concessioni o autorizzazioni
o relativi a immagini o suoni conservati temporaneamente per esclusive finalità di sicurezza o di tutela delle persone o del patrimonio
o trattati, in base alla legge, dai soggetti autorizzati in relazione alle operazioni e ai dati necessari all’esclusivo fine di prestare l’attività di garanzia collettiva dei fidi ed i servizi ad essa connessi o strumentali (“confidi”)
Quando occorre inviare la notificazione
Il Codice Privacy stabilisce che la notificazione deve essere effettuata:
· prima dell’inizio del trattamento, prima della cessazione del trattamento ed al mutamento di taluno degli elementi da indicare nella notificazione medesima;
· con un solo atto a prescindere dal numero delle operazioni e della durata del trattamento, e può riguardare uno o più trattamenti con finalità correlate, ed anche quando il trattamento comporta il trasferimento all’estero dei dati;
· esclusivamente mediante trasmissione per via telematica del modello predisposto dal Garante, con apposizione di firma digitale da parte del titolare.
Come si compila la Notificazione
Con il provvedimento del 22 ottobre 2008, il Garante ha semplificato il modello di notificazione: stampatelo e compilatelo, dopo aver letto le "Istruzioni".
La effettiva compilazione della notificazione deve essere eseguita esclusivamente on-line.
Quando siete pronti, accedete all'apposita sezione del sito del Garante, scegliete la voce “Compilazione della notificazione” e seguite le istruzioni.
Se siete tenuti ad effettuare la notificazione e desiderate richiedere la nostra consulenza, inviate una e-mail a: legale@poloconsulting.net