ti allego questo articolo, ciao..
"Niente notificazione al Garante della privacy per i trattamenti dei dati di clienti e fornitori effettuati da liberi professionisti e Caf per svolgere adempimenti fiscali o contabili. L'esonero dall'adempimento previsto dal Codice della privacy e in scadenza al 30 aprile 2004 interessa tutti gli intermediari per l'attività di presentazione delle dichiarazioni dei redditi e coloro che si occupano della redazione bilancio. Devono notificare, invece, i concessionari per la riscossione, salvo quando siano stati nominati responsabili del trattamento dall'ente pubblico impositore. Non si devono, invece, notificare le telecamere negli esercizi commerciali, nei parcheggi o all'ingresso delle aziende. Questi alcuni dei principali chiarimenti forniti dal Garante con il suo comunicato del 23 aprile 2004, prot. n. 9654/33365, che segue e dettaglia i contenuti del recente provvedimento n. 1 del 2004. Con tale atto il Garante ha disposto una serie di esoneri dall'obbligo di notificazione. Ora con il comunicato in esame ha evidenziato ulteriori aspetti di interpretazione delle norme (in particolare articolo 37 del codice della privacy e di quel provvedimento. Vediamo di illustrare le novità. Beninteso l'eventuale esonero riguarda l'adempimento delle notificazione fermo restando gli atri obblighi previsti dal codice (consenso e informativa agli interessati, adeguamento delle misure di sicurezza ecc.)
Solvibilità economica e condizione patrimoniale. Molto significativi i chiarimenti del garante con riferimento all'articolo 37, lettera f) del codice. Non devono notificarsi i trattamenti di clienti e fornitori effettuati da liberi professionisti od organismi (caf) per adempimenti fiscali (per esempio per intermediari per presentare dichiarazione dei redditi) o contabili (redazione bilancio). I chiarimenti del garante sul punto riguardano anche gli avvocati: sono esonerati da notificazioni i trattamenti per investigazioni difensivi o per curare difesa in sede giudiziaria di diritti degli assistiti (recupero crediti). L'esonero dalla notificazione riguardava già i trattamenti connessi a forniture di beni, prestazioni o servizi (clienti, fornitori, dipendenti) o ad adempimenti contabili o fiscali. Con il comunicato in commento il garante ha precisato che non devono essere notificati i trattamenti predetti effettuati anche in sede precontrattuale. Con riferimento agli esoneri già previsti per i datori di lavoro il garante ha precisato che beneficiano dell'esonero anche i trattamenti effettuati in base a previsioni di contratto collettivo.
Concessionari della riscossione. Devono notificare i concessionari di riscossione di tributi. Non devono notificare i concessionari che siano stati nominati responsabili di trattamento da parte dell'ente pubblico che ha affidato il servizio di riscossione. La nomina di responsabile deve essere formalizzata nei termini di cui all'articolo 29 del codice della privacy.
Posizione geografica di persone o cose. Il garante si è occupato di alcuni trattamenti molto diffusi: registrazioni di ingressi e uscite sui luoghi di lavoro, impianti a circuito chiuso in locali commerciali, professionali e aziendali, parcheggi, e rilevazione della posizione delle persone tramite letture di carte di credito. In tutti questi casi non c'è obbligo di notifica. In realtà la esemplificazione di cui al comunicato in esame è molto analitica e tutti i casi sono ispirati al principio generale per cui la notifica va fatta quando il trattamento è sistematico. Nel caso in esame il garante parla di possibilità di individuazione in maniera continuativa di soggetti alla identità dei quali sia possibile risalire. Peraltro i soggetti che possono fruire di questo esoneri sono parecchi. Innanzitutto i datori di lavoro rispetto alle telecamere, apparecchiature badge e accessi regolamentati con codici. Peraltro la notifica scatta se attraverso questi strumenti sia possibile registrare gli spostamenti degli interessati, in sostanza, se si possa seguire dinamicamente la persona nel suo percorso. Ma anche i titolari di locali commerciali, di capannoni aziendali e con riferimento ad aree di sosta. Infine possono beneficiare dell'esonero anche i trattamenti che dalla lettura delle carte elettroniche possono dare indicazione sulla posizione delle persone.
Profilazione utenti. La notifica riguarderebbe il trattamento di dati sensibili con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato. Anche su questo punto interviene il comunicato per limitare l'ambito dell'obbligo di notificazione. L'adempimento è subordinato alla sistematicità del trattamento. La notificazione presuppone l'uso di sistemi o programmi applicativi finalizzati a registrare, elaborare o raffrontare specifiche annotazioni per studiare il comportamento o le preferenza di singoli interessati o utenti. Questo significa che l'uso del computer come supporto per elaborare testi non integra il presupposto della notificazione. Il garante esemplifica questo aspetto esonerando i trattamenti senza profilazione degli interessati, ma finalizzati alla sola gestione di beni, prestazioni o servizi. Se tratto dati, anche relativi alla personalità dell'interessato, senza l'uso di sistemi o programmi applicativi appositi, allora non devo notificare. Anche il trattamento dati relativo gli accessi a siti web giustificati dalla garanzia di sicurezza del sistema o elaborazione di statistiche anonime.
Dati genetici e biometrici. I chiarimenti del garante riguardano i soggetti esonerati. La norma di esonero, già stabilita con il provvedimento 1/2004 a favore di avvocati ed esercenti professioni sanitarie, vale anche nel caso di attività gestita in forma associata e di medici titolari di trattamento in materia di igiene e sicurezza lavoro e della popolazione.
Sanità a distanza. Nessuna notificazione va fatta per i servizi di assistenza o consultazione sanitaria telefonica
Organismi non profit
Nessuna notifica va fatta da parte di cooperative sociali e comunque da enti che non hanno carattere politico, sindacale, religioso o filosofico. (riproduzione riservata)
ItaliaOggi pubblica il testo della nota del Garante per la privacy prot. n. 9654/33365 del 23/4 ´Chiarimenti sui trattamenti da notificare al Garante'
La notificazione al Garante deve essere come noto effettuata solo se il trattamento dei dati personali è indicato specificamente nel codice entrato in vigore lo scorso 1° gennaio (art. 37 dlgs n. 196/2003). La notificazione può essere poi esclusa per effetto di un provvedimento di questa Autorità che è stato già adottato lo scorso 31 marzo (provv. n. 1/2004, pubblicato sulla Gazzetta Ufficiale 6 aprile 2004 n. 81 e sul sito web www.garanteprivacy.it).
Si ritiene ora opportuno evidenziare altri trattamenti che non devono essere notificati in base a una corretta interpretazione delle disposizioni vigenti.
1) Dati genetici e biometrici (art. 37, comma 1, lett. a). Il provvedimento n. 1/2004 ha individuato i presupposti in base ai quali non devono essere notificati i trattamenti di tali dati effettuati da esercenti le professioni sanitarie e da avvocati. Tale esonero, alle condizioni indicate, opera anche nel caso in cui l'attività sia prestata in forma associata. L'esonero opera inoltre per l'attività svolta da medici titolari di un trattamento in materia di igiene e sicurezza del lavoro e della popolazione.
2) Posizione geografica di persone od oggetti (art. 37, comma 1, lett. a). La norma di riferisce alla localizzazione di persone od oggetti, ed è quindi riferita alla rilevazione della loro presenza in determinati luoghi, mediante reti di comunicazione elettronica gestite o accessibili dal titolare del trattamento. La localizzazione va notificata quando permette di individuare in maniera continuativa, anche con eventuali intervalli, l'ubicazione sul territorio o in determinate aree geografiche, in base ad apparecchiature o dispositivi elettronici detenuti dal titolare o dalla persona oppure collocati sugli oggetti. La localizzazione deve comunque permettere di risalire all'identità degli interessati, anche indirettamente attraverso appositi codici. Non devono essere quindi notificati al Garante i trattamenti di dati personali che consentano solo una rilevazione non continuativa del passaggio o della presenza di persone od oggetti, effettuata, per esempio, all'atto della:
a) registrazione di ingressi o uscite presso luoghi di lavoro, tramite tessere elettromagnetiche, codici di accesso o altri dispositivi, a meno che, mediante la rete di comunicazione elettronica, siano possibili tracciare gli spostamenti di interessati in determinati luoghi o aree sul territorio. non devono essere inoltre trattati dati biometrici, perché in tal caso la notificazione è necessaria;
b) rilevazione di immagini o suoni, anche con impianti a circuito chiuso, presso immobili o edifici ove si svolgono attività del titolare del trattamento (locali commerciali, professionali o aziendali, nonché le relative aree perimetrali, adibite a parcheggi o a carico/scarico merci, accessi, uscite di emergenza), a meno che, anche mediante interazione con altri sistemi, il titolare possa rilevare le diverse ubicazioni o spostamenti di una persona o di un oggetto in determinati luoghi o aree sul territorio;
c) lettura di carte elettroniche per fornire beni, prestazioni o servizi quali, per esempio, carte di pagamento, carte di credito o di fidelizzazione. I dati non devono essere peraltro rilevati con strumenti elettronici volti ad analizzare abitudini o scelte di consumo, poiché in tal caso la notificazione è necessaria (art. 37, comma 1, lett. d).
3) Dati sulla salute o sulla vita sessuale utilizzati per prestare servizi sanitari per via telematica (art. 37, comma 1, lett. b). È tenuto alla notificazione che eroga servizi sanitari per via telematica relativi a una banca di dati o alla fornitura di beni. Non devono essere quindi notificati i trattamenti di dati sanitari, e/o sulla vita sessuale, effettuati nell'ambito di servizi di assistenza o consultazione sanitaria per via telefonica, come i servizi telefonici gestiti in ambito assicurativo e che consentono il consulto di esercenti professioni sanitarie.
4) Dati sulla vita sessuale o sulla sfera psichica trattati da organismi non profit (art. 37, comma 1, lett. c). Non vanno notificati al Garante i trattamenti effettuati da associazioni, enti od organismi che non hanno carattere politico, sindacale, religioso o filosofico, come per esempio cooperative che svolgono attività di ricovero e assistenza a malati psichici. Il provvedimento n. 1 del Garante, laddove esclude (punto 3) la notificazione per i trattamenti di dati idonei a rilevare la sfera psichica di lavoratori in materia di rapporto di lavoro e di previdenza, si riferisce anche ai casi in cui si deve adempiere a specifici obblighi stabiliti in sede di contrattazione collettiva e giuridicamente rilevanti in base alla normativa in materia.
5) Strumenti elettronici per profilare interessati o utenti di servizi di comunicazione elettronica (art. 37, comma 1, lett. d). Ai fini dell'obbligo di notificazione, gli strumenti elettronici utilizzati devono essere configurati e impiegati per definire o valutare il profilo o la personalità dell'interessato, oppure per analizzare le sue abitudini o scelte di consumo. I sistemi o programmi informatici devono essere finalizzati a registrare, elaborare o raffrontare specifiche annotazioni per studiare il comportamento o le preferenze di singoli interessati o utenti individuati nominativamente o identificabili anche indirettamente attraverso appositi codici. Non devono essere quindi notificati i trattamenti di dati effettuati al solo fine di:
a) fornire all'interessato beni, prestazioni o servizi, con l'ausilio di strumenti elettronici finalizzati alla gestione del relativo rapporto e dei connessi adempimenti contabili o fiscali, all'invio di eventuali comunicazioni informative commerciali e al controllo della qualità di servizi offerti senza procedere ad alcuna profilazione degli interessati;
b) verificare l'identità o il profilo di autorizzazione di utenti o incaricati, nell'ambito di sistemi di autenticazione informatica o di autorizzazione per l'accesso a dati o sistemi (per esempio, per accedere a una banca di dati personali o a determinati contenuti di un sito web). Anche in questo caso, se sono trattati dati biometrici, la notificazione è necessaria (art. 37, comma 1, lett. a);
c) registrare gli accessi a un sito web, se i dati sono memorizzati esclusivamente per il tempo tecnicamente indispensabile ai fini di sicurezza del sistema o di elaborazione statistica in forma anonima.
6) Rilevazione del rischio sulla solvibilità economica o di comportamenti illeciti o fraudolenti (art. 37, comma 1, lett. f). Non devono essere notificati i trattamenti effettuati da soggetti che utilizzano banche di dati centralizzate o sistemi informativi gestiti autonomamente da altri soggetti, titolari del relativo trattamento, e che, pur comunicando a questi ultimi alcuni dati personali, non hanno alcun potere decisionale in ordine alle finalità e alle modalità del trattamento e agli strumenti utilizzati in tali ambiti. Ciò anche quando, per mere ragioni tecniche, una copia della banca di dati gestita dal terzo autonomo titolare del trattamento risieda presso il soggetto abilitato unicamente a consultarla in tale forma. Per esempio, banche, uffici postali e società emittenti carte di pagamento non devono notificare i trattamenti di dati effettuati nell'ambito dell'archivio informatizzato degli assegni bancari e postali e delle carte di pagamento istituito ai sensi del dlgs 507/1999 (cosiddetta Centrale di allarme interbancaria - Cai) e gestito dalla Banca d'Italia in qualità di titolare del trattamento (art. 10-bis, comma 2, legge n. 386/1990; art. 1, comma 4, dm n. 458/2001). In riferimento ai casi indicati nel provvedimento n. 1/2004 del Garante, si ritiene utile infine precisare che:
a) non devono essere notificati (punto 6, lett. b) i trattamenti relativi a clienti o fornitori effettuati da liberi professionisti od organismi (per esempio, Caaf) per adempimenti fiscali (per esempio, in qualità di intermediari necessari per presentare le dichiarazioni dei redditi) o contabili (esempio, redazione di bilanci), oppure per svolgere investigazioni difensive o curare la difesa in sede giudiziaria di diritti degli assistiti;
b) i trattamenti relativi alla fornitura di beni, prestazioni o servizi (per esempio, concernenti clienti, fornitori o dipendenti) o ad adempimenti contabili o fiscali, e che non devono essere notificati in base al provvedimento n. 1/2004 (punto 6, lett. b), riguardano anche dati di cui sia necessario il trattamento in sede pre-contrattuale;
c) i trattamenti relativi a obbligazioni, comportamenti illeciti o fraudolenti che non devono essere notificati in quanto trattati solo per adempiere a obblighi normativi in materia di rapporto di lavoro, previdenza o assistenza (punto 6, lett. c), comprendono quelli concernenti eventuali obblighi derivanti dalla contrattazione collettiva, giuridicamente rilevanti in base alla normativa in materia;
d) sono sottratti all'obbligo di notificazione i soggetti pubblici che utilizzano la banca di dati elettronica per riscuotere tributi, applicare sanzioni amministrative o rilasciare licenze, concessioni o autorizzazioni (punto 6, lett. d del provv. n. 1/2004). Devono invece notificare i soggetti privati concessionari di servizi di riscossione di tributi che esercitano le medesime attività, a meno che essi svolgano formalmente ed effettivamente le funzioni di ´responsabile del trattamento' per conto del soggetto pubblico conformemente alle disposizioni vigenti su tale designazione (art. 29 del codice);
e) non sono sottratti all'obbligo di notificazione i trattamenti di immagini o suoni che, benché registrati temporaneamente, siano inseriti in apposite banche di dati elettroniche relative a comportamenti illeciti o fraudolenti (punto 6, lett. e del provv. n. 1/2004). L'autorità resta a disposizione per ogni ulteriore chiarimento."
