Notificazione del trattamento: la tacita abrogazione dell’art. 37 d.lgs. 196/2003 ad opera del nuovo Regolamento europeo
26 Settembre 2016
Il 4 Maggio 2016 è stato pubblicato il Regolamento (UE) 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che abroga espressamente la Direttiva 95/46/CE.
Il Regolamento privacy europeo si pone lo scopo di armonizzare la disciplina della protezione dei dati personali, che per molti anni si è sostanziata in una variegata trasposizione della Direttiva 95/46/CE nei diversi ordinamenti nazionali degli Stati membri dell’Unione. Si tratta di normative che, pur operanti sotto l’egida della citata Direttiva 95/46/CE, tutt’ora presentano, nella sostanza, sfumature rilevanti.
La normativa europea necessitava sicuramente di uno “svecchiamento”, dal momento che il testo risultava essere sempre più superato dall’effettivo sviluppo tecnologico.
Oculata è stata la scelta del legislatore europeo di ricorrere allo strumento del Regolamento, il quale, dettando una disciplina di diretta applicazione, risulta assai più incisivo rispetto alla Direttiva, la quale, invece, richiede un lavoro di trasposizione a livello di singoli Stati.
La notificazione del trattamento nel d.lgs. 196/2003
L’art. 37 d.lgs. 196/2003 (Notificazione del trattamento) prevede l’obbligo per il titolare di notificare al Garante il trattamento di dati personali cui intende procedere nei casi in cui il trattamento riguardi:
a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;
b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;
c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;
d) dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;
e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;
f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.
Lo stesso art. 37 attribuisce, inoltre, al Garante la possibilità di individuare altri trattamenti suscettibili di recare pregiudizio ai diritti e alle libertà dell’interessato.
Il trattamento dei dati sensibili e giudiziari nel nuovo Regolamento (UE) 2016/679
È l’art. 9 del Regolamento che si occupa di dettare regole specifiche per trattamenti riguardanti «categorie particolari di dati personali».
I dati particolari presi in considerazione dal citato articolo sono i dati idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzione religiose o filosofiche, o l’appartenenza sindacale, nonché i dati genetici e biometrici, i dati intesi ad identificare in modo univo una persona fisica, i dati relativi alla salute, alla vita sessuale o, ancora, all’orientamento sessuale della persona.
Per questi dati vige il principio del divieto del trattamento. Eccezioni a tale regola generale sono dettate dallo stesso art. 9, co. 2, in base al quale il divieto di trattamento non si applica al verificarsi di determinate condizioni (ES: l’interessato ha prestato il proprio consenso esplicito, il trattamento è necessario per tutelare un interesse vitale dell’interessato, …).
Cosa accadrà nel 2018?
Nel Regolamento non è fatta menzione della necessità, per i titolari, di procedere a notificazione al Garante nazionale in caso di trattamenti inerenti ai c.d. dati particolari. Potremmo, dunque, correttamente affermare che la nuova (e cogente) normativa europea ha “mandato in pensione” – o, meglio, manderà in pensione, a far data dal 25 Maggio 2018 – le notifiche che per anni hanno caratterizzato i trattamenti di dati personali.
Si potrebbe, quindi, parlare di una implicita abrogazione dell’art. 37.
Alle autorità di controllo nazionali sono, in ogni caso, demandate funzioni di sorveglianza, promozione, consulenza, gestione dei reclami, incoraggiamento ed esame dei codici di condotta, indagine, ingiunzione, nonché altri poteri di natura accertativa e sanzionatoria.
Magari la “notifica”, accompagnata alla porta dal nuovo Regolamento Europeo, rientrerà dalla finestra tramite altri Provvedimenti! Staremo a vedere.