TRATTAMENTI SOGGETTI
ALL'OBBLIGO DI NOTIFICA

TRATTAMENTI
ESONERATI

RIF. NORMATIVO
(D.Lgs. 196/2003)

A) Dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica.

Per quanto riguarda il trattamento di dati genetici e biometrici in ambito sanitario, il Garante ha precisato con proprio comunicato stampa in data 26 aprile 2004 che la notifica deve essere effettuata solo se il trattamento dei dati genetici è sistematico ed assume il carattere di costante e prevalente attività del medico (ad es. un genetista).

Inoltre deve essere effettuata per i trattamenti di dati genetici e biometrici effettuati da strutture sanitarie pubbliche o private (ospedali, case di cura e di riposo aziende sanitarie laboratori di analisi cliniche, associazioni sportive). L'esonero è stato infatti disposto solo in favore di persone fisiche esercenti le professioni sanitarie e non per i trattamenti in quanto tali.

Con riferimento ai dati che indicano la posizione geografica, il Garante, con proprio parere in data 23 aprile 2004, ha precisato che la norma si riferisce alla localizzazione di persone o oggetti, ed è quindi riferita alla rilevazione della loro presenza in determinati luoghi, mediante reti di comunicazione elettronica gestite o accessibili dal titolare del trattamento.

La localizzazione va notificata quando permette di individuare in maniera continuativa - anche con eventuali intervalli - l'ubicazione sul territorio o in determinate aree geografiche, in base ad apparecchiature o dispositivi elettronici detenuti dal titolare o dalla persona oppure collocati sugli oggetti.
La localizzazione deve comunque permettere di risalire all'identità degli interessati, anche indirettamente attraverso appositi codici.

Per quanto concerne i trattamenti di dati effettuati da esercenti le professioni sanitarie e da avvocati non devono essere notificati i seguenti trattamenti:

a) trattamenti non sistematici di dati genetici o biometrici effettuati da esercenti le professioni sanitarie, anche unitamente ad altri esercenti titolari dei medesimi trattamenti, rispetto a dati non organizzati in una banca di dati accessibili a terzi per via telematica. Ciò limitatamente ai dati e alle operazioni, compresa la comunicazione, indispensabili per perseguire finalità di tutela della salute o dell'incolumità fisica dell'interessato o di un terzo;
b) trattamenti di dati genetici o biometrici effettuati nell'esercizio della professione di avvocato, in relazione alle operazioni e ai dati necessari per svolgere le investigazioni difensive di cui alla legge 397/2000, o comunque per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria. Ciò sempre che il diritto sia di rango almeno pari a quello dell'interessato e i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento.

Per quanto riguarda il trattamento di dati genetici e biometrici in ambito sanitario, il Garante ha precisato con proprio comunicato stampa in data 26 aprile 2004 che sono esonerati dalla notificazione sia i professionisti che trattano dati genetici e biometrici individualmente, sia i medici che in forma associata condividono il trattamento con altri professionisti, specie all'interno di uno stesso studio medico.
Il trattamento dei dati genetici non va notificato quando il professionista, nell'ambito di ordinari rapporti con il paziente, viene a volte a conoscenza di informazioni di tipo genetico (esame di screening o test genetici, indagini prenatali, diagnosi e cura di determinate patologie genetiche).

Per quanto concerne i trattamenti di dati che indicano la posizione geografica non devono essere notificati i seguenti trattamenti:

c) trattamenti di dati che indicano la posizione geografica di mezzi di trasporto aereo, navale e terrestre, effettuati esclusivamente ai fini di sicurezza del trasporto;
d) i trattamenti di dati personali che consentano solo una rilevazione non continuativa del passaggio o della presenza di persone o oggetti, effettuata, ad esempio, all'atto della:

• registrazione di ingressi o uscite presso luoghi di lavoro , tramite tessere elettromagnetiche, codici di accesso o altri dispositivi, a meno che, mediante la rete di comunicazione elettronica, sia possibile tracciare gli spostamenti di interessati in determinati luoghi o aree sul territorio. Non devono essere inoltre trattati dati biometrici, perché in tal caso la notificazione è necessaria;
• rilevazione di immagini o suoni , anche con impianti a circuito chiuso, presso immobili o edifici ove si svolgono attività del titolare del trattamento (locali commerciali, professionali o aziendali, nonché le relative aree perimetrali, adibite a parcheggi o a carico/scarico merci, accessi, uscite di emergenza), a meno che, anche mediante interazione con altri sistemi, il titolare possa rilevare le diverse ubicazioni o spostamenti di una persona o di un oggetto in determinati luoghi o aree sul territorio;
• lettura di carte elettroniche per fornire beni, prestazioni o servizi quali, ad esempio, carte di pagamento, carte di credito o di fidelizzazione. I dati non devono essere peraltro rilevati con strumenti elettronici volti ad analizzare abitudini o scelte di consumo, poiché in tal caso la notificazione è necessaria (art. 37, comma 1, lett. d)).

Art. 37, comma 1, lett. a).

B) Dati idonei a rivelare lo stato di salute e la vita sessuale, trattati ai fini procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria.

Il Garante, con proprio parere in data 23 aprile 2004, ha precisato che è tenuto alla notificazione chi eroga servizi sanitari per via telematica relativi ad una banca di dati o alla fornitura di beni.

Il Garante con proprio comunicato stampa in data 26 aprile 2004 ha precisato che per quanto riguarda malattie infettive il trattamento da notificare è solo quello che deve essere effettuato " a fini di . rilevazione ... " di tali patologie e in linea generale riguarda gestori di strutture anziché singoli professionisti che occasionalmente ne vengano a conoscenza.

Nel medesimo comunicato stampa il Garante ha precisato che per quanto concerne le prestazioni di servizi sanitari on-line , le medesime vanno notificate solo se i servizi sono:
a) relativi ad una banca dati o siano prestati per via telematica;
b) relativi alla fornitura di beni.

Per altri casi di accesso a banche dati da parte di medici è stato precisato che la notificazione compete invece alla a.s.l. o all'ente locale.

Non devono essere notificati , i trattamenti effettuati da esercenti le professioni sanitarie, anche unitamente ad altri esercenti titolari dei medesimi trattamenti:

a) a fini di procreazione assistita, di trapianto di organi e tessuti, indagine epidemiologica, rilevazione di malattie mentali, infettive, diffusive o di sieropositività, purché i trattamenti siano effettuati non sistematicamente, rispetto a dati non organizzati in una banca di dati accessibile a terzi per via telematica e limitatamente ai dati e alle operazioni indispensabili per la tutela della salute o dell'incolumità fisica dell'interessato o di un terzo;
b) ad esclusivi fini di monitoraggio della spesa sanitaria o di adempimento di obblighi normativi in materia di igiene e sicurezza del lavoro e della popolazione.

Non devono inoltre essere notificati i trattamenti di dati sanitari -e/o sulla vita sessuale- effettuati nell'ambito di servizi di assistenza o consultazione sanitaria per via telefonica, come i servizi telefonici gestiti in ambito assicurativo e che consentono il consulto di esercenti professioni sanitarie.

Per quanto riguarda il trattamento di dati in ambito sanitario, il Garante ha precisato con proprio comunicato stampa in data 26 aprile 2004 che le considerazioni sull'esonero espresse in tema di dati genetici e biometrici per i professionisti che effettuano il trattamento individualmente o in forma associata (cfr. precedente paragrafo) valgono anche per i trattamenti relativi a procreazione assistita, trapianti, indagini epidemiologiche, rilevazione di malattie mentali, infettive, diffusive e sieropositività.
Nell'esonero rientrano anche i trattamenti effettuati da un medico specialista nell'ambito di un'attività di consulenza o di procreazione assistita, sempre che non siano effettuati in modo sistematico.

Per quanto concerne le prestazioni di servizi sanitari on-line , non vanno notificati:

a) i trattamenti di dati sanitari nell'ambito della teleassistenza (consultazione di specialisti per via telefonica);
b) i trattamenti di dati organizzati in banche dati trattati manualmente (archivi cartacei);
c) i trattamenti di dati organizzati in banche dati informatizzate ma non collegate ad una rete telematica.

Non devono, infine, notificare i medici che usano unicamente un computer nel proprio ufficio; usano la posta elettronica per dialogare con i pazienti, effettuano prenotazioni per gli assistiti, ecc. Anche sulla base di altri esempi sono stati considerati quindi esonerati dalla notificazione diversi trattamenti effettuati nell'ambito della cd medicina in rete.

Poiché non rientrano nel monitoraggio della spesa sanitaria non vanno notificati i trattamenti di dati sanitari effettuati da strutture convenzionate con il Servizio sanitario nazionale, solo per ottenere il rimborso delle prestazioni specialistiche erogate.

Art. 37, comma 1, lett. b).

C) Dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale.

Non devono essere notificati i trattamenti di dati idonei a rivelare la sfera psichica di lavoratori, inclusi i casi in cui si deve adempiere a specifici obblighi stabiliti in sede di contrattazione collettiva e giuridicamente rilevanti in base alla normativa in materia:

a) effettuati da associazioni, enti od organismi a carattere sindacale per adempiere esclusivamente a specifici obblighi o compiti previsti dalla normativa in materia di rapporto di lavoro o di previdenza, anche in tema di diritto al lavoro dei disabili;
b) effettuati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico o religioso riguardo a dati di propri dipendenti o collaboratori, per adempiere esclusivamente a specifici obblighi previsti dalla normativa in materia di rapporto di lavoro o di previdenza;

Non devono inoltre essere notificati i trattamenti effettuati da associazioni, enti od organismi che non hanno carattere politico, sindacale, religioso o filosofico, come ad esempio cooperative che svolgono attività di ricovero e assistenza a malati psichici.

Art. 37, comma 1, lett. c).

D) Dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica.

Il Garante, con proprio parere in data 23 aprile 2004, ha precisato che ai fini dell'obbligo di notificazione, gli strumenti elettronici utilizzati devono essere configurati e impiegati per definire o valutare il profilo o la personalità dell'interessato, oppure per analizzare le sue abitudini o scelte di consumo. I sistemi o programmi informatici devono essere finalizzati a registrare, elaborare o raffrontare specifiche annotazioni per studiare il comportamento o le preferenze di singoli interessati od utenti individuati nominativamente o identificabili anche indirettamente attraverso appositi codici.

Non devono essere notificati i trattamenti di dati personali:

a) tecnicamente indispensabili per fornire i servizi medesimi agli utenti;
b) che non siano fondati esclusivamente su un trattamento automatizzato volto a definire profili professionali, effettuati per esclusive finalità di occupazione o di gestione del rapporto di lavoro, fuori dei casi di cui alla successiva lettera E);
c) che non siano fondati unicamente su un trattamento automatizzato volto a definire il profilo di un investitore, effettuati esclusivamente per adempiere a specifici obblighi previsti dalla normativa in materia di intermediazione finanziaria;
d) relativi all'utilizzo di marcatori elettronici o dispositivi analoghi installati, oppure memorizzati temporaneamente, e non persistenti, presso l'apparecchiatura terminale di un utente, consistenti nella sola trasmissione di identificativi di sessione in conformità alla disciplina applicabile, all'esclusivo fine di agevolare l'accesso ai contenuti di un sito Internet.

Non devono inoltre essere notificati i trattamenti di dati effettuati al solo fine di:

e) fornire all'interessato beni, prestazioni o servizi, con l'ausilio di strumenti elettronici finalizzati alla gestione del relativo rapporto e dei connessi adempimenti contabili o fiscali, all'invio di eventuali comunicazioni informative commerciali e al controllo della qualità di servizi offerti senza procedere ad alcuna profilazione degli interessati;
f) verificare l'identità o il profilo di autorizzazione di utenti o incaricati, nell'ambito di sistemi di autenticazione informatica o di autorizzazione per l'accesso a dati o sistemi (ad esempio, per accedere ad una banca di dati personali o a determinati contenuti di un sito web). Anche in questo caso, se sono trattati dati biometrici la notificazione è necessaria (art. 37, comma 1, lett. a));
g) registrare gli accessi ad un sito web, se i dati sono memorizzati esclusivamente per il tempo tecnicamente indispensabile ai fini di sicurezza del sistema o di elaborazione statistica in forma anonima.

Art. 37, comma 1, lett. d).

E) Dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie.

Non devono essere notificati i trattamenti di dati sensibili effettuati:

a) al solo fine di selezione di personale per conto esclusivamente di soggetti appartenenti al medesimo gruppo bancario o societario;
b) da soggetti pubblici per adempiere esclusivamente a specifici obblighi o compiti previsti dalla normativa in materia di occupazione e mercato di lavoro;
c) da associazioni o organizzazioni di categoria al solo fine di svolgere ricerche campionarie relativamente a dati riguardanti l'adesione alla medesima associazione o organizzazione.

Art. 37, comma 1, lett. e).

F) Dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.

Il Garante ha precisato nel proprio parere del 23 aprile 2004 che devono notificare i soggetti privati concessionari di servizi di riscossione di tributi che esercitano le medesime attività, a meno che essi svolgano formalmente ed effettivamente le funzioni di "responsabile del trattamento" per conto del soggetto pubblico conformemente alle disposizioni vigenti su tale designazione (art. 29 del Codice).

Inoltre è necessaria la notificazione per i trattamenti di immagini o suoni che, benché registrati temporaneamente, siano inseriti in apposite banche di dati elettroniche relative a comportamenti illeciti o fraudolenti.

Non devono essere notificati i trattamenti di dati personali:

a) effettuati da soggetti pubblici per la tenuta di pubblici registri o elenchi conoscibili da chiunque;
b) registrati in banche di dati utilizzate in rapporti con l'interessato di fornitura di beni, prestazioni o servizi, o per adempimento contabili o fiscali, anche in caso di adempimenti contrattuali, azioni di recupero del credito e contenzioso con l'interessato. Al riguardo il Garante ha precisato che non devono essere notificati i trattamenti relativi a clienti o fornitori effettuati da liberi professionisti od organismi (es.: CAAF) per adempimenti fiscali (ad es., in qualità di intermediari necessari per presentare le dichiarazione dei redditi) o contabili (es.: redazione di bilanci), oppure per svolgere investigazioni difensive o curare la difesa in sede giudiziaria di diritti degli assistiti. Inoltre, i trattamenti relativi alla fornitura di beni, prestazioni o servizi (ad esempio, concernenti clienti, fornitori o dipendenti) o ad adempimenti contabili o fiscali, e che non devono essere notificati, riguardano anche dati di cui sia necessario il trattamento in sede pre-contrattuale;
c) registrati in banche di dati utilizzate da soggetti pubblici o privati per adempiere esclusivamente ad obblighi normativi in materia di rapporto di lavoro, previdenza o assistenza. Il Garante ha precisato i trattamenti relativi ad obbligazioni, comportamenti illeciti o fraudolenti che non devono essere notificati in quanto trattati solo per adempiere ad obblighi normativi in materia di rapporto di lavoro, previdenza o assistenza comprendono i trattamenti concernenti eventuali obblighi derivanti dalla contrattazione collettiva, giuridicamente rilevanti in base alla normativa in materia;
d) registrati in banche di dati utilizzate da soggetti pubblici al solo fine della tenuta ed esecuzione di atti, provvedimenti e documenti, in tema di riscossione di tributi, applicazione di sanzioni amministrative, o rilascio di licenze, concessioni o autorizzazioni. Il Garante ha precisato che sono sottratti all'obbligo di notificazione i soggetti pubblici che utilizzano la banca di dati elettronica per riscuotere tributi, applicare sanzioni amministrative o rilasciare licenze, concessioni o autorizzazioni;
e) relativi a immagini o suoni conservati temporaneamente per esclusive finalità si sicurezza o di tutela delle persone o del patrimonio;
f) trattati, in base alla legge, dai soggetti autorizzati in relazione alle operazioni e ai dati necessari all'esclusivo fine di prestare l'attività di garanzia collettiva dei fidi e i servizi a essa connessi o strumentali (" confidi ").

Il Garante ha precisato inoltre che non devono inoltre essere notificati i trattamenti effettuati da soggetti che utilizzano banche di dati centralizzate o sistemi informativi gestiti autonomamente da altri soggetti - titolari del relativo trattamento - e che, pur comunicando a questi ultimi alcuni dati personali, non hanno alcun potere decisionale in ordine alle finalità e alle modalità del trattamento e agli strumenti utilizzati in tali ambiti. Ciò anche quando, per mere ragioni tecniche, una copia della banca di dati gestita dal terzo autonomo titolare del trattamento, risieda presso il soggetto abilitato unicamente a consultarla in tale forma.
Ad esempio, banche, uffici postali e società emittenti carte di pagamento non devono notificare i trattamenti di dati effettuati nell'ambito dell'archivio informatizzato degli assegni bancari e postali e delle carte di pagamento istituito ai sensi del d.lg. n. 507/1999 (c.d. Centrale di allarme interbancaria-CAI) e gestito dalla Banca di Italia in qualità di titolare del trattamento (art. 10-bis, comma 2, l. n. 386/1990; art. 1, comma 4, d. m. n. 458/2001).

Art. 37, comma 1, lett. f).