di Andrea Lisi* e Maurizio De Giorgi** (www.studiodl.it - www.scint.it/altaformazione)
Il riordino della normativa in tema di trattamento dei dati personali, avvenuta con l’entrata in vigore del cd. Codice della privacy, sta dando vita a più di un problema tecnico – giuridico in ordine ai nuovi adempimenti cui sono tenuti i titolari del trattamento.
Svaniti gli entusiasmi dei primi commentatori che avevano visto nel T.U. sulla privacy la fonte cui attingere per ritrovare una tranquillità ormai dimenticata da anni, ci si è ritrovati tutti a fare i conti con una normativa in alcuni punti fin troppo nebulosa e foriera di dubbi e contrasti interpretativi.
Si pensi, in particolare, alle norme dedicate alla notificazione al Garante e alle molte conseguenze che sono derivate dalla lettura del combinato disposto degli artt. 37 e 181 del decreto legislativo 196/2003.
In sintesi, la dottrina si è chiesta se l’obbligo della notificazione debba essere ottemperato nuovamente anche da parte dei titolari che hanno già effettuato la notificazione sotto il vigore della legge n. 675/96.
La domanda è tra le più complesse che si possa avere in tema di trattamento dei dati personali sia perché presuppone una chiave di lettura particolarmente approfondita delle norme in vigore, sia perché, dalla soluzione che ad essa si dà, derivano conseguenze certamente di non poco conto per i titolari del trattamento tenuti a tale obbligo.
Ma procediamo con ordine. Si è tutti d’accordo nel ritenere la notificazione “una mera dichiarazione” invitata da parte del titolare del trattamento (sia esso un soggetto pubblico o privato) al Garante per la protezione dei dati personali per rendere noto a tale Autorità l’esistenza (rectius, l’inizio) di una sua attività di trattamento di determinati dati personali.
Da questa premessa consegue una deduzione di cui si deve tenere conto: non bisogna confondere la notificazione con una richiesta di autorizzazione. Notificare altro non vuol dire che rendere noto, i latini in proposito avrebbero usato l’espressione notum facere.
A questo punto si rende necessaria un’altra premessa generale sulla quale vi è altrettanta unità e concordia di veduta tra gli interpreti.
L’onere di ottemperare alla notificazione è oggi previsto solo per specifiche ipotesi e non già in via generale: è questa, peraltro, una delle autentiche novità introdotte dal Codice della privacy.
Invero, dal dettato dell’art. 7 della ormai abrogata legge 675/96 fino ad arrivare all’art. 37 del decreto legislativo 196/03, l’obbligo della notificazione ha completamente mutato la sua fisionomia passando da ‘regola’ ad ‘eccezione’.
Nel corso degli anni – giova ricordarlo - il Legislatore si è andato sempre più adeguando a questo nuovo principio, recependo così le critiche da più parti mosse al citato art. 7 della legge n. 675/96, emanando prima il decreto legislativo n. 255/97 e, poi, il decreto legislativo n. 467/01.
Con l’entrata in vigore del Codice della privacy, oggi sono tenuti ad effettuare la notificazione soltanto i titolari del trattamento che riguardi (art. 37):
a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;
b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;
c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;
d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;
e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;
f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.
Per quanto poi il Legislatore (art. 37, comma 2) rimetta al Garante sia la facoltà di individuare nuove ipotesi in cui si renda necessaria la notificazione, sia quella di individuare, nell’ambito dei trattamenti sopra ricordati, eventuali ipotesi sottratte all’obbligo di notificazione, può comunque dirsi che la norma di cui all’art. 37 vada interpretata in maniera rigorosa senza offrire letture estensive del suo dettato.
La notificazione, peraltro, deve essere effettuata una sola volta e prima dell’inizio del trattamento; una nuova notificazione è richiesta solo anteriormente alla cessazione del trattamento o al mutamento di taluno degli elementi da indicare nella medesima notificazione (art. 38).
A questo punto del nostro argomentare, tenendo fermi i punti innanzi precisati in ordine alla natura giuridica della notificazione (si tratta, lo ripetiamo, di una mera dichiarazione), ai casi in cui questo obbligo deve essere effettuato (art. 37, commi 1 e 2) e ai soggetti che vi sono tenuti (i titolari del trattamento), occorre sciogliere l’autentico nodo interpretativo sotteso al combinato disposto delle norme di cui agli articoli 37 e 181 del codice.
Ovvero, si tratta in pratica di chiarire se le imprese che abbiano già effettuato la notificazione sotto il vigore della legge 675/96 debbano rieffettuarla alla luce del nuovo codice.
Sul punto, in realtà, da più parti piovono risposte in senso positivo generalizzandosi così l’obbligo di (ri)notificare. Ma sono possibili altre letture?
Sembra opportuno, preliminarmente, riportare al fine di fare chiarezza uno stralcio della lettera della norma di cui all’art. 181 del codice.
Art. 181 - rubricato: “Altre disposizioni transitorie” - “1. Per i trattamenti di dati personali iniziati prima del 1 gennaio 2004, in sede di prima applicazione del presente codice: … c) le notificazioni previste dall'articolo 37 sono effettuate entro il 30 aprile 2004”.
Chi scrive ritiene di non doversi dare alla norma un peso eccessivamente rilevante nell’ottica delle disposizioni del codice non solo perché, da un punto di vista formale, la stessa è solo una norma transitoria, ma anche perché, dal punto di vista sostanziale, rappresenta una disposizione che introduce una vera e propria frattura nel sistema.
È innegabile in proposito che, sia sotto il vigore della legge 675/96 (art. 7), sia sotto il vigore del nuovo codice della privacy (art. 38), la notificazione preceda il trattamento dei dati personali.
Orbene, la lettera dell’art. 181 è piuttosto chiara nel permettere ai titolari dei trattamenti iniziati antecedentemente al primo gennaio 2004 di notificare (sempre se ricorrano i casi di cui all’art. 37) entro il successivo 30 aprile: si tratta quindi di una norma che fa eccezione al principio generale di cui al citato art. 38 e già operante, lo si ripete, sotto il vigore della vecchia normativa.
A questo punto preleggi alla mano (art. 14), trattandosi di una “legge eccezionale” non può che applicarsi nei soli “casi” e “tempi” previsti dalla legge stessa. Ed allora certamente non può introdurre un generale principio di (ri)notificazione!
Ma vi è di più. La norma del richiamato art. 181 sembra anche essere affetta da una illogicità che ne compromette grandemente la portata: il riferimento è in particolare all’introduzione della data spartiacque del primo gennaio 2004.
È piuttosto illogico infatti che, ricorrendo sempre i casi di cui all’art. 37, chi abbia iniziato il trattamento prima di quella data (e, a pensarci bene, quanto prima?) abbia tempo per effettuare la notificazione fino al 30 aprile 2004 e chi abbia iniziato il trattamento a decorrere dal primo gennaio in poi o aveva già preventivamente effettuato la notificazione (ed allora nulla quaestio) ovvero si deve aspettare presto un provvedimento sanzionatorio. Si tratta di conseguenze che fanno sorgere più di qualche dubbio in ordine alla loro correttezza.
In realtà, coerenza giuridica, oltre che logica, imporrebbe che se debba essere sanzionato chi abbia iniziato il trattamento dei dati dopo il primo gennaio 2004, senza previa notificazione pur essendovi tenuto, altrettanto valga anche per chi abbia iniziato il trattamento prima (sia un solo giorno prima che - perché no – uno o due anni prima…d’altronde non è forse vero che fino al 31 dicembre 2003 era in vigore la legge 675/96 che imponeva comunque la previa notifica?).
In conclusione, la norma dell’art. 181 può essere letta come una sorta di “condono”, o “sanatoria”, nei confronti di quanti abbiano iniziato prima del 1° gennaio 2004 (quanto prima non lo sappiamo dire… probabilmente poco prima) il trattamento dei dati di cui all’art. 37 senza adeguarsi alla normativa della legge 675/96 (cui invece avrebbero dovuto fare riferimento) confusi, per così dire, da un cambiamento epocale che stava per investire la materia del trattamento dei dati personali.
Ma il vero problema è capire se le imprese e i professionisti che (diligentemente e rispettando la legge 675/96) abbiano effettuato, a tempo debito (e cioè certamente prima del primo gennaio 2004) la notificazione oggi siano tenute, comunque, a ripetere tale adempimento e, quindi, diventa rilevante rispondere alla domanda se dalla norma dell’art. 181 si possa, o meno, evincere un principio generale.
E sul punto la risposta non può che essere negativa, si tratta infatti di una norma transitoria e, come anticipato, di portata eccezionale e in quanto tale, quindi, ontologicamente inidonea a sostenere validamente la tesi del generalizzato obbligo di rinotificazione.
Sul piano strettamente pratico – senza quindi alcuna disquisizione giuridica – la lettura proposta in questa sede imporrebbe al Garante di digitalizzare tutte le notifiche già pervenutegli nel corso degli anni a suo esclusivo carico; al contrario l’opposta lettura che vorrebbe operante il principio generale della rinotificazione scaricherebbe tale costo sulle imprese e sui professionisti (peraltro tenuti a pagare diritti di cancelleria – 150 euro! - e ad acquistare, se sprovvisti, delle smart card per dotarsi di firma digitale da apporsi obbligatoriamente alle nuove notificazioni).
_______________
(*) Avvocato in Lecce, Studio Legale Lisi. Titolare, con il dr. Davide Diurisi, dello Studio associato D.&L., consulenza ICT&International Trade. Curatore del portale www.scint.it. Autore di numerose pubblicazioni in materia di diritto del commercio internazionale e diritto delle nuove tecnologie. Direttore Scientifico del Corso di Alta Formazione in Diritto&Economia del Commercio Elettronico Internazionale.
(**) Avvocato in Lecce, Studio Legale Lisi. Collabora con il Centro Studi&Ricerche SCiNT. Autore di numerosi saggi giuridici di approfondimento pubblicati on-line su diversi siti. Coautore con l'avv. Lisi del volume "Guida al codice della privacy", Simone ed. 2003.