LE NOTIFICAZIONI AL GARANTE PER LA PROTEZIONEDEI DATI PERSONALI DOPO LE MODIFICHE ALLA LEGGE 31 DICEMBRE 1996N. 675

di
Marco Maglio
(Avvocato - Responsabile dell'Ufficio Legale di Selezionedal Reader's Digest S.p.A.
Presidente della Commissione per la Legislazione el'Autodisciplina di AIDiM)



1. L'ATTIVITÀ DI INTEGRAZIONE E CORREZIONE DELLA LEGGESULLA TUTELA DEI DATI PERSONALI: LA LEGGE DELEGA 31 DICEMBRE 1996N. 676 E LE PRIME MODIFICHE INTRODOTTE CON IL DECRETO LEGISLATIVO9 MAGGIO 1997 n. 123 .

Secondo un copione ormai consolidato nella pur brevestoria della legge italiana sulla tutela dei dati personali, ilLegislatore Delegato, all'approssimarsi dell'ennesima scadenzafissata nella legge n. 675, ha colpito ancora.

Era già successo il 9 maggio 1997, il giornodopo l'entrata in vigore della legge che ha stabilito i criterigenerali per la protezione della riservatezza. In quell'occasioneil Legislatore Delegato(1)si era impegnato in modifichedi varia entità e rilevanza. Per fare un esempio eranostate introdotte revisioni lessicali, ribattezzando, anche peresigenze di efficacia comunicativa, l'Autorità indipendenteposta a controllare la regolarità del trattamento dei dati.Alla originaria dizione "Garante per la tutela delle personee di altri soggetti rispetto al trattamento dei dati personali"si è sostituita la formula più concisa "Garanteper la protezione dei dati personali" (2). Ma la parte piùsostanziosa delle prime modifiche introdotte dal Legislatore Delegatosi riferivano alle modalità attraverso le quali puòessere fornita all'interessato l'informativa prevista dall'articolo10 della legge n. 675. Nella primitiva versione il Legislatoreprevedeva che il titolare del trattamento dei dati personali potesseformulare solo per iscritto l' informazione all'interessato deidiritti attribuitigli dalla legge. In questo modo si limitavanotevolmente l'efficacia del messaggio informativo che rischiavadi essere estraneo all'intero flusso comunicativo stabilito trale parti. Prevedere un obbligo di fornire l'informativa esclusivamenteper iscritto significava, infatti, imporre un evidente aggravioprocedurale per quelle attività (ad esempio il telemarketing)basate sull'utilizzo di messaggi esclusivamente verbali.

Pertanto, la possibilità, introdotta dall'articolo1 del decreto legislativo 9 maggio 1997 n. 123 che ha modificatol'articolo 10 della legge 31 dicembre 1996 n. 675, di fornirel'informativa all'interessato anche oralmente è stata accoltacon particolare sollievo dagli operatori di comunicazioni direttecon i consumatori.

Un'ulteriore modificazione introdotta dal LegislatoreDelegato il 9 maggio 1997 è stata quella relativa ai terminientro i quali sarà in vigore l'obbligo di richiedere l'autorizzazionedel Garante per la protezione dei dati personali per il trattamentodei cosiddetti dati sensibili: a seguito dell'emanazione del decretolegislativo n. 123, le disposizioni che prevedono un'autorizzazionedel Garante dovranno essere applicate a partire dal 30 novembre1997, laddove il termine originario era il 30 agosto 1997.

A seguito della proroga concessa dal Legislatorefino al 30 novembre 1997, pertanto, il trattamento dei dati sensibilinon richiede autorizzazioni, ma rimane fermo l'obbligo di ottenereil consenso dell'interessato per le informazioni raccolte a partiredall'entrata in vigore della legge 675 e cioè, dall'8 maggio1997.

Inoltre, come ha avuto modo di precisare lo stessoGarante (3), poiché la legge prevede che possano essere rilasciate"autorizzazioni relative a determinate categorie di titolario di trattamenti", sono allo studio alcuni modelli semplificatidi richiesta, allo scopo di rendere più rapide e snellele procedure relative.

Il Garante si è poi impegnato a definire alpiù presto anche forme di "autorizzazione-tipo",che saranno adeguatamente pubblicizzate sulla Gazzetta Ufficiale.Utilizzando questi schemi coloro che abbiano già presentatorichiesta di autorizzazione potranno effettuare il trattamentodei dati senza bisogno di essere costretti a ripresentare unanuova istanza. Tuttavia è chiaro che le singole futureautorizzazioni non potranno essere rilasciate in assenza delleindicazioni specificate nello schema-tipo di richiesta che saràpredisposto dall'Autorità.

Infine, per le categorie di trattamenti alle qualinon risulterà applicabile questa "autorizzazione-tipo",il Garante si è riservata la possibilità di esaminare,entro 30 giorni a partire dal 30 novembre 1997, le richieste giàpresentate.

In definitiva il primo intervento del LegislatoreDelegato ha tentato di fornire, se è consentita un'immaginepresa a prestito dal mondo nautico, a varo già avvenuto,i rimedi necessari per permettere alla legge appena entrata invigore di affrontare il mare tempestoso della vita quotidiana.L'intento era nobile ed i risultati sono stati sostanzialmenteaccettabili; tuttavia il sottobosco di interessi che, anche attornoa questa vicenda, si sono agitati risulta sostanzialmente sconcertante.

2. IL DECRETO LEGISLATIVO 28 LUGLIO 1997 n. 255 ED IL PROBLEMADELLE NOTIFICAZIONI AL GARANTE PER LA TUTELA DEI DATI PERSONALI.

Dopo tre mesi di navigazione, la legge sulla privacy,affrontati con successo i venti tempestosi che tentavano di determinarnel'inglorioso affondamento,(4) si avvicinava ad un'altra scadenzarelativa ad un rilevante adempimento: le notificazioni (5).

In realtà, scorrendo il testo normativo ritroviamotre diverse ipotesi di notificazione che è bene qui differenziareimmediatamente:

  • a) una notificazione generale preventivain caso di avvio dell'attività di trattamento di dati personali(articolo 7);
  • b) una notificazione generale finalein caso di cessazione dell'attività di trattamento deidati personali (articolo 16, primo comma);
  • c) una notificazione specialein caso di trasferimento di dati personali verso un paese nonappartenente all'Unione Europea (articolo 28, primo comma).

Le finalità di queste tre ipotesi di notificazionesono diverse. Solo la notificazione generale riguarda indistintamentetutti i soggetti che vogliono effettuare un'attività ditrattamento. Quindi ci riferiremo esclusivamente a questo tipodi notificazione, anche perché su questa è intervenutoil Legislatore Delegato prevedendo ipotesi particolari di notificazionesemplificata, di esonero da notificazione e di proroghe rispettoai termini originariamente previsti per la notificazione al Garante.

Come tutti gli adempimento che stabiliscono un rapportodiretto con un Ufficio pubblico, questa operazione ha molto colpitola fantasia dei destinatari delle norme, i quali fin dall'epocadell'emanazione del testo normativo si sono preoccupati di comprenderecome ed in che termini assolvere questo obbligo.

Probabilmente questo atteggiamento assai prudentedei titolari di trattamenti è stato influenzato dalla consapevolezzache l'omessa ovvero incompleta od inesatta notificazione al Garanteè qualificata dall'articolo 34 della legge n. 675/1996come delitto, punito con la reclusione da tre mesi fino a dueanni oltre che con la pubblicazione della sentenza di condanna.

In realtà, come è stato correttamenteosservato dai primi commentatori della legge, la notificazioneè un adempimento di natura eminentemente burocratica chenon dovrebbe preoccupare eccessivamente il titolare del trattamento:in un certo senso, questa azione costituisce una "denunciadi esistenza in vita" indirizzata al Garante, il quale aseguito di questo atto può conoscere gli elementi essenzialidell'attività svolta dal soggetto che è titolaredi un trattamento dei dati e prenderne nota in caso possano essergliutili.

Non si tratta, quindi, di un atto ripetitivo e complesso;anzi, se guardiamo l'esperienza straniera dovremmo concludereche questo adempimento si riduce ad una mera compilazione e spedizionedi moduli prestampati, reperibili anche su floppy disk o addiritturaconsultabili on line dal sito internet del Garante.

In attesa di verificare se anche la soluzione italianasi avvicinerà a quella degli ordinamenti europei, restail fatto che quest'atto impone al titolare del trattamento unazione. L'eventuale omissione è suscettibile di produrreeffetti negativi sui soggetti obbligati a questi adempimenti.

La legge stabilisce la disciplina generale dellanotificazione all'articolo 7, prevedendo, come principio generale,che il titolare che intenda procedere ad un trattamento di datiè tenuto a darne notificazione al Garante.

La notificazione deve essere effettuata preventivamenteed una sola volta, a prescindere dal numero delle operazioni dasvolgere e dalla durata del trattamento. Essa può riguardareuno o più trattamenti con finalità correlate.

Il titolare è tenuto ad effettuare una nuovanotificazione solo se muta taluno degli elementi comunicati alGarante e deve precedere l'effettuazione della variazione.

La notificazione è sottoscritta dal notificantee dal responsabile del trattamento, con firme autenticate neimodi di legge.

Peraltro la legge prevede anche la possibilitàche le notificazioni, limitatamente ai soggetti tenuti all'iscrizionenel registro delle imprese possano essere effettuate per il tramitedelle Camere di Commercio, secondo le modalità stabilitecon apposito regolamento che ancora non è stato emanato.

Per quanto riguarda il contenuto di questo documentola legge, al quarto comma dell'articolo 7, richiede l'indicazionedei seguenti elementi:

  • a) il nome, la denominazione o la ragione socialee il domicilio, la residenza o la sede del titolare;
  • b) le finalità e modalità del trattamento;
  • c) la natura dei dati, il luogo ove sono custoditie le categorie di interessati cui i dati si riferiscono;
  • d) l'ambito di comunicazione e di diffusionedei dati;
  • e) i trasferimenti di dati previsti verso Paesinon appartenenti all'Unione Europea o, qualora riguardino talunodei dati di cui agli articoli 22 e 24, fuori del territorio nazionale;
  • f) una descrizione generale che permetta di valutarel'adeguatezza delle misure tecniche ed organizzative adottateper la sicurezza dei dati;
  • g) l'indicazione della banca di dati o dellebanche di dati cui si riferisce il trattamento, nonchél'eventuale connessione con altri trattamenti o banche di dati,anche fuori del territorio nazionale;
  • h) il nome, la denominazione o la ragione socialee il domicilio, la residenza o la sede del responsabile; in mancanzadi tale indicazione si considera responsabile il notificante;
  • i) la qualità e la legittimazione delnotificante.

Come già ricordato la notificazione generaleè un atto preventivo, cioè va effettuato prima diprocedere all'attività di trattamento; questo significache i soggetti che intraprendono l'attività di trattamentodei dati personali dopo l'entrata in vigore della legge devonopreoccuparsi, prima di iniziare ad operare, di comunicare al Garantele informazioni previste nell'articolo 7 della legge n. 675/1996.

Ma come devono comportarsi i soggetti giàesistenti ed operanti alla data dell'8 maggio 1996? Nell'ambitodel regime transitorio il Legislatore aveva previsto i terministabiliti dal secondo comma dell'articolo 41 della legge n. 675/1996.A questo proposito la disciplina originaria stabiliva i seguentitermini:

a) Per i trattamenti di dati personali iniziati primadell'8 maggio 1997 o nei novanta giorni successivi a tale data,le notificazioni generali iniziali e speciali devono essere effettuateentro il termine di sei mesi dalla data di pubblicazione nellaGazzetta Ufficiale del decreto relativo all'Ufficio del Garante.

b) nelle ipotesi in cui il trattamento dei dati vengasvolto senza l'ausilio dei mezzi elettronici , entro il terminedi nove mesi dalla medesima data.

Come ricordato, il Legislatore Delegato èintervenuto per modificare i termini previsti, probabilmente perla consapevolezza della difficoltà di procedere alla raccoltadei dati contenuti nella notificazione, in assenza di preciseistruzioni provenienti dal Garante. Conseguentemente, anche perevitare che quell'Ufficio fosse invaso da incontrollabili quantitàdi notificazioni difficilmente gestibili, è stato stabilitoche le notificazioni debbano avvenire secondo un calendario, basatosulla distinzione tra le attività di trattamento con mezziinformatici e con mezzi manuali, che prevede queste scadenze:

  • a) dal 1° gennaio 1998 al 31 marzo 1998per i trattamenti di dati personali iniziati prima del 1°gennaio 1998 le notificazioni generali preventive e quelle speciali (6)per il trasferimento di dati in paesi extracomunitari;
  • b) dal 1° aprile 1998 al 30 giugno 1998per i trattamenti (7) effettuati senza ausilio di mezzi elettroniciovvero da soggetti pubblici.

Per quanto riguarda i nuovi trattamenti iniziatinel corso del 1998 la notificazione dovrà essere effettuataprima di procedere al trattamento. A tale proposito il Garanteha precisato che non è considerato "nuovo trattamento"quello in cui ci si limiti ad inserire nuovi dati in un archiviogià attivato ed a divulgare informazioni già raccolte:per definire un trattamento come "nuovo" occorreràguardare, piuttosto, al momento in cui si è intrapresanel suo complesso l'attività di raccolta e di elaborazionedei dati (8).

3. LE NOTIFICAZIONI SEMPLIFICATE E LE IPOTESIDI ESONERO DA NOTIFICAZIONE

Ma la modifica più sostanziale alla leggen. 675/1996 è stata introdotta dal Legislatore Delegatoattraverso la previsione di ipotesi:

a) di semplificazione delle notificazioni;

b) di esonero dall'obbligo di effettuare notificazioni.

Questa variazione era largamente prevista e fin daisuoi primi interventi pubblici il Garante aveva invitato a percorrerela via della semplificazione, sia per rendere più agevolel'adempimento degli obblighi ai destinatari delle norme, sia perridurre l'impatto delle norme sull'organizzazione preposta a garantireil rispetto della legge.

Peraltro la stessa legge delega del 31 dicembre 1996n. 676, tra le disposizioni integrative e correttive demandateal Governo entro 18 mesi dall'entrata in vigore della legge, haindicato anche l'individuazione di forme semplificate di notificazionedel trattamento dei dati personali e di casi di esonero dal relativoobbligo per trattamenti da individuare preventivamente che, inragione delle relative modalità o della natura dei datipersonali, non presentino rischi di danno per l'interessato (9).

Si tratta, quindi, di un provvedimento normativoimportante, che libera di buona parte del peso superfluo un adempimentola cui utilità risiede nella capacità di portarea conoscenza del Garante le caratteristiche dei soggetti che eseguonotrattamenti di dati personali: ma come sanno bene gli espertidi comunicazione, un eccesso di informazioni rischia di essereun ostacolo per la reale conoscenza.

A dire il vero, per quanto riguarda la notificazionein forma semplificata, il Legislatore Delegato si è limitatoa prevedere che essa potrà non contenere taluni elementirispetto a quelli previsti dall'articolo 7. Tali deroghe verrannoconcretamente individuate dal Garante attraverso un regolamentodi prossima emanazione. Tuttavia il Decreto Legislativo chiarisceche questa possibilità è ammessa solo in ristretteipotesi, riferite a specifiche categorie di soggetti, quando iltrattamento è effettuato:

  • a) da soggetti pubblici, esclusi gli enti pubblicieconomici, sulla base di espressa disposizione di legge , ovverodi un provvedimento emanato dal Garante;
  • b) da giornalisti professionisti, pubblicistio praticanti, esclusivamente nell'esercizio della loro professionee nel rispetto del relativo codice di deontologia;
  • c) da chiunque purché il trattamento avvengaa tempo determinato e senza utilizzare mezzi elettronici o comunqueautomatizzati, ai soli fini e con le modalità strettamentecollegate all'organizzazione interna dell'attività esercitatadal titolare; tale attività si deve riferire a dati nonregistrati in una banca di dati e purché non si trattidi dati sensibili o relativi al casellario giudiziario.

Più elaborata è la previsione normativarelativa alle ipotesi di esonero dall'obbligo di notificazione.

Il Legislatore Delegato, dopo aver ricordato chegià esiste una deroga a tale dovere nel caso di particolaritrattamenti effettuati in ambito pubblico (10), ha previsto che iltrattamento non è soggetto a notificazione quando:

a) è necessario per l'assolvimento di un compitoprevisto dalla legge, da un regolamento o dalla normativa comunitaria,fuori dai casi in cui si può procedere a notificazionesemplificata;

b) riguarda dati contenuti o provenienti da pubbliciregistri, elenchi, atti o documenti conoscibili da chiunque;

c) è effettuato per esclusive finalitàdi gestione del protocollo, relativamente ai dati necessariper la classificazione della corrispondenza, esclusa quelladi natura promozionale, commerciale o finalizzata a ricerca dimercato, con particolare riferimento alle generalità eai recapiti degli interessati, alla loro qualifica e all'organizzazionedi appartenenza;

d) riguarda rubriche telefoniche o analoghe nondestinate alla diffusione, utilizzate unicamente per ragionid'ufficio e di lavoro e comunque per fini diversi da quelli diinvio, in qualsiasi forma, di materiale pubblicitario o di venditadiretta o per il compimento di ricerche di mercato;

e) è finalizzato unicamente all'adempimentodi specifici obblighi contabili, retributivi, previdenziali, assistenzialie fiscali, ed è effettuato con riferimento alle solecategorie di dati, di interessati e di destinatari della comunicazionee diffusione strettamente collegate a tale adempimento, conservandoi dati non oltre il periodo necessario all'adempimento medesimo;

f) è effettuato da liberi professionistiiscritti in albi o elenchi professionali, ad eccezione deigiornalisti, per le sole finalità strettamente collegateall'adempimento di specifiche prestazioni e fermo restando ilsegreto professionale;

g) è compiuto dai piccoli imprenditoriper le sole finalità strettamente collegate allo svolgimentodell'attività professionale esercitata, e limitatamentealle categorie di dati, di interessati, di destinatari della comunicazionee diffusione nonchè al periodo di conservazione dei dati,necessari per il perseguimento delle finalità medesime;

h) è finalizzato alla tenuta di albi oelenchi professionali in conformità alle leggi a airegolamenti;

i) è effettuato per esclusive finalitàdell'ordinaria gestione di biblioteche, musei e mostre,in conformità alle leggi e ai regolamenti, ovvero per laorganizzazione di iniziative culturali o sportive o per laformazione di cataloghi e bibliografie;

l) è effettuato da associazioni, fondazioni,comitati anche a carattere politico, filosofico, religioso o sindacale,ovvero da loro organismi rappresentativi, istituti per scopinon di lucro e per il perseguimento di finalità lecite,relativamente a dati inerenti agli associati e ai soggetti chein relazione a tali finalità hanno contatti regolari conl'associazione, la fondazione, il comitato o l'organismo, fermirestando gli obblighi di informativa degli interessati e di acquisizionedel consenso, ove necessario;

m) è effettuato dalle organizzazioni divolontariato nel rispetto delle autorizzazioni e delle prescrizionidi legge con particolare riguardo ai dati sensibili;

n) è effettuato a tempo determinato ed èfinalizzato esclusivamente alla pubblicazione o diffusioneoccasionale di articoli, saggi e altre manifestazioni del pensiero,nel rispetto del Codice deontologico dei giornalisti;

o) è effettuato, anche con mezzi elettronicio comunque automatizzati, per la redazione di periodici o pubblicazioniaventi finalità di informazione giuridica, relativamentea dati desunti da provvedimenti dell'autorità giudiziariao di altre autorità;

p) è effettuato a tempo determinato per esclusivefinalità di raccolta di adesioni a proposte di legged'iniziativa popolare, a richieste di referendum, a petizionio ad appelli;

q) è finalizzato unicamente all'amministrazionedei condomini, limitatamente alle categorie di dati, diinteressati e di destinatari della comunicazione necessarie perl'amministrazione dei beni comuni, conservando i dati non oltreil periodo necessario per la tutela dei corrispondenti diritti.

Peraltro, il Legislatore Delegato si è preoccupatodi limitare la possibilità per il titolare di avvalersidella notificazione semplificata o dell'esonero: così èstato stabilito che il titolare può accedere a questi beneficia patto che il trattamento riguardi unicamente le finalità,le categorie di dati, di interessati e di destinatari della comunicazionee diffusione previste dalla legge, ovvero da norme comunitarie,dal codice di deontologia dei Giornalisti, o dal Garante. Questosignifica che qualora uno dei soggetti, astrattamente ammessia beneficiare delle norme di semplificazione o di esonero, intendaeffettuare un trattamento al di fuori dei casi previsti dallalegge dovrà rinunciare a questi benefici e procedere aquella che abbiamo definito notificazione preventiva generale.

Il Legislatore Delegato ha, infine, stabilito cheil titolare che si avvale dell'esonero relativo alla notificadeve comunque fornire tutte le informazioni previste dalla notificazionea chiunque ne faccia richiesta. Questa sembra una soluzione apparentementecoerente con il sistema che ha fatto della notificazione il pernoattorno cui ruota l'intero meccanismo di pubblicità neltrattamento dei dati personali. Tuttavia, in sede di primo commento,non si può nascondere la profonda deroga che questo meccanismoinstaura nel normale rapporto che la legge ha previsto tra Garantee Titolare. A causa di questa soluzione, infatti, almeno per lecategorie esentate dall'obbligo di notificazione, il Garante cesseràdi essere il centro di gravità dell'intero sistema di rapportitra interessato e titolare. Quest'ultimo potrà essere invasoda richieste provenienti da "chiunque" e saràtenuto a dare una risposta a tutti i quesiti, senza possibilitàdi deroga (tra l'altro, è ben strana la scelta legislativadi non aver previsto un minimo criterio di selezione della legittimazioneattiva per l'esercizio di questa "azione").

E' comprensibile la necessità di liberareil Garante dal peso di gestire tutta l'enorme massa di notificazioni.Tuttavia avremmo giudicato più equilibrata la scelta dichiedere a "chiunque" di rivolgersi al Garante per averele informazioni richieste. Sarebbe poi stato l'organo pubblicoad attivarsi per entrare in possesso delle informazioni che nonpossedeva. Questa procedura avrebbe sicuramente funzionato dadeterrente alle richieste pretestuose che, lo ricordiamo, potrebberoessere formulate da "chiunque". Peraltro questa sceltaadottata dal Legislatore non innalza certo il livello di tuteladell'interessato, il quale, già ai sensi dell'articolo13 (11) della legge n.675/1996, ha in ogni caso il diritto di conoscerele informazioni essenziali che formano oggetto della notificazione.

4. CONCLUSIONE

Il secondo intervento compiuto dal Legislatore Delegatonei confronti della legge sulla tutela dei dati personali ha influitoin modo rilevante sull'istituto della notificazione al Garante.Non bisogna tuttavia sovrastimare l'importanza di questo provvedimentoin quanto l'impianto essenziale dei rapporti tra titolare, responsabileed interessato è rimasto immutato: nulla è mutatocirca l'obbligo di informativa e di raccolta del consenso dell'interessato.

In sintesi il decreto legislativo del 28 luglio 1997n.255:

  • ha prorogato i termini originariamente previstiper l'effettuazione di questo provvedimento;
  • ha introdotto, pur senza definirli nei dettagli,casi di notificazione semplificata;
  • ha previsto, per specifiche categorie di titolarie per definite finalità di trattamento, ipotesi di esonerodall'obbligo di notificazione.

Le ragioni che hanno condotto a questo provvedimentosono pienamente comprensibili e giustificabili, alla luce dellaragion pratica.

Tuttavia l'interprete non può esimersi dalformulare un giudizio fortemente negativo nei confronti dellatecnica normativa utilizzata per dare una soluzione alle esigenzedegli operatori: queste norme sono mal scritte e piene di rinviidifficilmente comprensibili.

Abbiamo sempre sostenuto con convinzione che questalegge, per essere compiutamente compresa, richiede all'interpretelo sforzo di sintonizzarsi sulle nuove frequenze della "culturadella riservatezza e del rispetto". E' ora auspicabile cheanche il Legislatore si adegui a questo nuovo atteggiamento erispetti le regole della chiarezza e della buona scrittura (12). Ricordandoche il diritto è una scienza non formalistica, ma formalizzata,il cultore delle forme giuridiche si intristisce nel vedere unalegge "nuova di zecca" già rabberciata, e pienadi commi aggiunti che vengono pesantemente qualificati come bis,ter, quater e quinquies.

Alle sciatterie linguistiche e formali si accompagnanole carenze sostanziali: nella trama preziosa della legge interecategorie di soggetti, con formule spesso confuse, vengono sfilatedall'obbligo di effettuare la notificazione: tanto per fare unesempio, l'esonero da notificazione relativo a "rubrichetelefoniche o analoghe non destinate alla diffusione, utilizzateunicamente per ragioni d'ufficio e di lavoro e comunque perfini diversi da quelli di invio, in qualsiasi forma, di materialepubblicitario o di vendita diretta o per il compimento di ricerchedi mercato", suscita dubbi e perplessità. Se la rubricatelefonica non è utilizzata per ragioni d'ufficio e dilavoro permane l'obbligo di notificazione? Crediamo di no, edin effetti lo stesso testo normativo offre spunti interpretativiin questo senso. Tuttavia, a questo proposito, non riusciamo acomprendere come si possa conciliare l'uso dell'avverbio "unicamente"con una formula invece estensiva e residuale come quella che chiudela previsione normativa ("e comunque per fini diversi.......").Come vuole "il principio di non contraddizione" dellalogica aristotelica: tertium non datur.

Potremmo continuare in questa caccia all'errore,ma, segnalata l'esistenza del fenomeno, preferiamo abbandonarequesto approccio polemico. Tuttavia desideriamo formulare unaconsiderazione conclusiva di ordine generale che ci preoccupaparticolarmente per l'integrità del sistema.

L'enigma delle notificazioni semplificate non èrisolto ma, piuttosto rinviato alla prossima puntata. Solo quandoverrà emanato il provvedimento regolamentare del Garantepotremo scoprire chi ed a quali condizioni potrà beneficiaredi questa soluzione.

Non abbiamo fretta e, avendo seguito passo dopo passole vicende del diritto alla riservatezza in Italia in questi ultimidieci anni, come insegna la saggezza orientale ci siamo armatidi pazienza. Tuttavia constatiamo che mentre aspettiamo, la certezzadel diritto, caposaldo sul quale si è fondata un'interaciviltà giuridica, si offusca ed il compito di far lucesull'oscurità legislativa viene demandato ad una, sia purindipendente, autorità amministrativa. Ma in questo modoil sistema dei principi giuridici vacilla paurosamente.



Allegato 1



SCHEMA DI SINTESI
Caratteristiche
Riferimento normativo
NOTIFICAZIONEE' l'atto attraverso il quale il titolare del trattamento porta a conoscenza del Garante le informazioni relative alle caratteristiche essenziali del trattamento stesso e dell'organizzazione del titolare.
articolo 7
legge n.675/1996
Altre ipotesi di notificazione sono previste in caso di cessazione dell'attività di trattamento e di trasferimento di dati personali in paesi extracomunitari.
articoli 16 e 28
legge n.675/1996
SCADENZELe notificazioni dovranno essere effettuate:
a) dal 1° gennaio 1998 al 31 marzo 1998 per i trattamenti di dati personali iniziati prima del 1° gennaio 1998 le notificazioni generali preventive e quelle speciali per il trasferimento di dati in paesi extracomunitari;

b) dal 1° aprile 1998 al 30 giugno 1998 per i trattamenti effettuati senza ausilio di mezzi elettronici ovvero da soggetti pubblici;

c) prima di iniziare il trattamento per le attività relative a dati personali intraprese dopo il 1° gennaio 1998.




articolo 41
secondo comma
legge n.675/1996








articolo 7
comma 2
legge n. 675/1996
NOTIFICAZIONE SEMPLIFICATAE' un'ipotesi di notificazione priva di alcuni degli elementi prescritti dalla legge.

La legge rinvia ad un regolamento, di prossima emanazione da parte del Garante, per la definizione dei contenuti di questo tipo di notificazione.

La notificazione semplificata è ammessa quando il trattamento è effettuato:
a) da soggetti pubblici, esclusi gli enti pubblici economici, sulla base di espressa disposizione di legge , ovvero di un provvedimento emanato dal Garante;

b) da giornalisti professionisti, pubblicisti o praticanti, esclusivamente nell'esercizio della loro professione e nel rispetto del relativo codice di deontologia;

c) da chiunque purché il trattamento avvenga a tempo determinato e senza utilizzare mezzi elettronici o comunque automatizzati, ai soli fini e con le modalità strettamente collegate all'organizzazione interna dell'attività esercitata dal titolare; tale attività si deve riferire a dati non registrati in una banca di dati e purché non si tratti di dati sensibili o relativi a relativi al casellario giudiziario

articolo 7
comma 5 bis
legge n. 675/1996
ESONERO DALL'OBBLIGO DI NOTIFICAZIONELa legge prevede alcuni casi specifici nei quali determinate categorie di soggetti sono esonerati dall'obbligo di notificazione, purché il trattamento avvenga ai soli fini per i quali è concesso l'esonero.

In sintesi l'esonero è previsto quanto il trattamento :

a) è necessario per l'assolvimento di un compito previsto dalla legge;

b) riguarda dati contenuti o provenienti da pubblici registri;

c) è effettuato per esclusive finalità di gestione del protocollo, relativamente ai dati necessari per la classificazione della corrispondenza;

d) riguarda rubriche telefoniche;

e) è finalizzato unicamente all'adempimento di specifici obblighi contabili, retributivi, previdenziali, assistenziali e fiscali;

f) è effettuato da liberi professionisti iscritti in albi o elenchi professionali;

g) è compiuto dai piccoli imprenditori;

h) è finalizzato alla tenuta di albi o elenchi professionali;

i) è effettuato per esclusive finalità dell'ordinaria gestione di biblioteche, musei e mostre, in conformità alle leggi e ai regolamenti, ovvero per la organizzazione di iniziative culturali o sportive o per la formazione di cataloghi e bibliografie;

l) è effettuato da associazioni, fondazioni, comitati anche a carattere politico, filosofico, religioso o sindacale, ovvero da loro organismi rappresentativi, istituti per scopi non di lucro e per il perseguimento di finalità lecite;

m) è effettuato dalle organizzazioni di volontariato;

n) è effettuato a tempo determinato ed è finalizzato esclusivamente alla pubblicazione o diffusione occasionale di articoli, saggi e altre manifestazioni del pensiero, nel rispetto del Codice deontologico dei giornalisti;

o) è effettuato, anche con mezzi elettronici o comunque automatizzati, per la redazione di periodici o pubblicazioni aventi finalità di informazione giuridica,;

p) è effettuato a tempo determinato per esclusive finalità di raccolta di adesioni a proposte di legge d'iniziativa popolare, a richieste di referendum, a petizioni o ad appelli;

q) è finalizzato unicamente all'amministrazione dei condomini.

articolo 7
comma 5 ter
legge n. 675/1996
SANZIONIChiunque, essendovi tenuto, non provvede alle notificazioni prescritte dagli articoli 7 e 28, ovvero indica in esse notizie incomplete o non rispondenti al vero, è punito con la reclusione da tre mesi a due anni. Se il fatto concerne la notificazione prevista dall'articolo 16, comma 1, la pena è della reclusione sino ad un anno.

La condanna per questo reato importa anche la pubblicazione della sentenza.

Art. 34.
(Omessa o infedele notificazione).













Art. 38.
(Pena accessoria).

Milano settembre 1997



1) La legge 31 dicembre 1996 n. 676 ha introdotto un meccanismo di "perfezionamento in itinere" della legge n. 675, stabilendo che il Governo entro 18 mesi dall'entrata in vigore della legge possa emanare uno o più decreti legislativi per integrare e correggere le previsioni contenute nelle disposizioni generali.
Su questa scelta del legislatore si potrebbe discutere a lungo, considerato che, in un certo senso, il Parlamento si è spogliato della potestà legislativa su questa materia, riservando al Governo il compito assai delicato di realizzare le correzioni e gli adeguamenti alla disciplina quadro contenuta nella legge n. 675. Tuttavia va ricordato che questa soluzione probabilmente consentirà alla legge di superare, senza eccessivi scompensi la elaborata fase di attuazione evitando di essere soggetta alle spesso estenuanti attese derivanti dalla discussione tra le diverse forze politiche nel dibattito parlamentare.
2) Per la verità alcune modifiche introdotte dalla legge per la protezione dei dati personali risultano di difficile comprensione: ad esempio quella che, occupandosi della figura del Segretario Generale dell'ufficio del Garante, ha ritenuto opportuno precisare che questo funzionario può essere scelto anche tra magistrati ordinari od amministrativi. Precisazione che, per la formulazione scelta dal legislatore, ci sembra quanto meno pleonastica perchè non stabilisce un preciso criterio di selezione ma si limita ad indicare esplicitamente una delle innumerevoli categorie professionali alle quali il Garante può attingere per la copertura di questa rilevante funzione.
3) Questa previsione che si auspica trovi conferma nella realtà, oltre che nelle buone intenzioni del Garante, è contenuta nel comunicato stampa con il quale quest'Autorità ha presentato le innovazioni introdotte dal Decreto legislativo del 9 maggio 1997 n. 123, all'indomani della sua emanazione.
4) In questi mesi abbiamo assistito ad un sostanziale tentativo di "fuga" dall'alveo naturale di rilevanza di questa legge, posto in essere con destrezza da alcune categorie di soggetti, pur indubbiamente coinvolte nei problemi della tutela dei dati personali. Esemplare in questo senso è il caso dei giornalisti, che a prima vista appaiono i naturali destinatari di norme volte a tutelare la privacy dell'individuo. Non è certo casuale, infatti, che l'atto di nascita del diritto alla privacy sia costituito da uno scritto di due giuristi statunitensi che, nel 1890, cercarono di individuare uno strumento giuridico per reagire all'invadenza della stampa scandalistica nella vita privata delle persone. Sono passati oltre cent'anni ed è comprensibile che i pericoli per la privacy ora provengano anche da altre attività umane. Per quanto riguarda la stampa, che aveva già beneficiato di un intervento legislativo con il D. Lgs. 123/1997, a seguito della prossima emanazione del codice di autodisciplina dei giornalisti, è probabile che l'attenzione del Garante si soffermerà prevalentemente su altri soggetti che ledono la riservatezza delle persone. Ma suscita perplessità constatare che possa essere considerata potenzialmente lesiva della privacy l'introduzione nella cassetta della posta altrui di un messaggio promozionale (dopo aver pagato regolare tariffa postale) mentre non sia considerata rilevante per questa normativa la condotta di chi diffonde "urbi et orbi" notizie relative a dati personali anche attinenti a salute o vita sessuale di un soggetto, senza essersi premurato di ottenerne il previo consenso o aver controllato le fonti dell'informazione. Comprendiamo che la legge sulla tutela dei dati personali non può occuparsi di tutto e che il tema della libertà di stampa coinvolge delicate questioni. Tuttavia un momento di riflessione si impone per evitare che si realizzino soluzioni poco equilibrate e, soprattutto, poco eque.
5) La legge sulla tutela dei dati personali qualifica quest'obbligo all'articolo 7, in apertura del capo II dedicato agli obblighi per il Titolare. Il decreto legislativo del 28 luglio 1997 n. 255 ha aggiunto quattro commi che hanno introdotto ipotesi di notificazioni semplificate e di esoneri per specifiche categorie di soggetti.
6) Si tratta delle notificazioni prescritte dagli articoli 7 e 28 della legge n. 675/1996.
7) Sono i tipi di trattamento previsti dall'articolo 5 riguardanti dati diversi da quelli di cui agli articoli 22 e 24, nonché per quelli di cui all'articolo 4, comma 1, lettere c), d) ed e).
8) In questi termini si è espresso l'Ufficio del Garante nel Comunicato Stampa emesso il 28 luglio 1997.
9) Si fa riferimento all'art. 1 lettera f) della legge 31 dicembre 1996 n. 676.
10) Sono i trattamenti previsti dall'articolo 4 della legge in commento.
11) L'articolo 13 lettera b) della legge n. 675/1996 prevede che 'interessato ha diritto di essere informato su quanto indicato nell'articolo 7, quarto comma, lettere a), b) ed h). Inoltre, l'articolo 10 della medesima legge stabilisce che all'interessato devono essere fornite una serie di informazioni che in parte ritroviamo nella notificazione. Si potrà obiettare che il legislatore ha semplicemente voluto ribadire questo principio. Tuttavia, a nostro avviso, nella stesura di un testo normativo, come in molte altre espressioni dell'agire umano, l'eliminazione del superfluo è una qualità essenziale: solitamente la linearità espositiva consegue alla chiarezza concettuale.
12) Un esempio, tra i tanti, dello scarso controllo delle forme da parte del Legislatore Delegato è offerto dal testo originario del nuovo comma 5-ter, lettera g) nella versione in cui è stato discusso ed approvato dal Consiglio dei Ministri: da un punto di vista grammaticale, il soggetto (peraltro sottinteso) era privo del verbo. Il significato della frase restava comprensibile; ma la trascuratezza dell'estensore del testo è apparsa evidente: e qualcuno potrebbe avanzare il malizioso sospetto che chi scrive male, pensi male. Solo l'intervento del correttore delle bozze in sede di pubblicazione del testo sulla Gazzetta Ufficiale ha consentito di porre rimedio a questa disattenzione. Tuttavia la stampa quotidiana aveva già diffuso il testo del decreto legislativo nella forma approvata dal Governo ( cfr. Il Sole 24 Ore del 29 luglio 1997 pag 18, il cui testo è stato temporaneamente ripreso anche dal sito www.privacy.it).