Roma, 20 settembre 1995

Studio n. 1644/a

Nuova disciplina del trattamento dei dati personali

Approvato dalla Commissione Studi del Consiglio Nazionale del Notariato

il 16 dicembre 1997

Quadro normativo.- La legge 31 Dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali) apre un capitolo nuovo nella protezione della privacy in Italia, nel contesto degli obblighi internazionali scaturiti dalla Convenzione n. 108 del Consiglio d’Europa, adottata a Strasburgo il 28 gennaio 1981 (legge 21 febbraio 1989, n. 98) concernente la protezione delle persone rispetto al trattamento automatizzato dei dati di carattere personale, dall’Accordo di Schengen del 14 giugno 1985 ed ulteriori atti internazionali (legge 30 settembre 1993, n. 388) e, segnatamente dalla Direttiva 95/46/CE del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati.

La coeva legge 31 dicembre 1996, n. 676 (Delega al Governo in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali) delega il Governo ad emanare, entro diciotto mesi dalla sua entrata in vigore, uno o più decreti legislativi recanti a) disposizioni integrative, sulla scorta di diversi princìpi, fra i quali la ricognizione puntuale dei soggetti pubblici titolari dei trattamenti esclusi, nonché dei medesimi trattamenti; b) disposizioni correttive della legislazione in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, sulla base dell’esperienza emersa dopo il primo periodo di applicazione. Ne sono quindi scaturiti i decreti legislativi 9 maggio 1997, n. 123 (Disposizioni correttive ed integrative della legge 31 dicembre 1996, n. 675, in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali) e 28 luglio 1997, n. 255 (Disposizioni integrative e correttive della legge 31 dicembre 1996, n. 675, in materia di notificazione dei trattamenti di dati personali, a norma dell’articolo 1, comma 1, lettera f) della legge 31 dicembre 1996 n. 676).

Le Banche Dati.- Si fa riferimento alle “banche dati” (qualificandole come qualsiasi complesso di dati personali, ripartito in una o più unità dislocate in uno o più siti, organizzato secondo una pluralità di criteri determinati tali da facilitarne il trattamento) in funzione del “trattamento”, definito come “qualunque operazione o complesso di operazioni svolti con o senza l’ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati”. Sennonché, la stessa disciplina è applicabile alle raccolte cartacee[1], con una estensione molto significativa (art.5).

La genericità delle previsioni legislative (in dottrina, si segnala che data l’assenza di un criterio di organizzazione, gli elenchi dei fruitori delle biblioteche sarebbero al di fuori della legge, ma al contempo si indica che in certi contesti tale elenco può rivelare dati sensibili[2]) può creare ovviamente dei dubbi in ordine ai settori coperti. Inoltre, l’esistenza di sanzioni anche penali, potrebbe indurre ad ulteriori riflessioni sul rispetto dei princìpi della tipicità dei reati, il che a sua volta non può che richiamare ulteriormente l’attenzione sulla necessità che l’opera ermeneutica si arresti al rigoroso rispetto del principi di legalità e tipicità propri della materia penale. In questo contesto, bisogna richiamare la distinzione fra interpretazione analogica ed interpretazione estensiva in materia penale, vietata la prima e consentita la seconda, purché nel solco dell’intenzione del legislatore.

Trattamento dati per fini esclusivamente personali. - Non rientra nell’ambito della legge il trattamento dei dati personali (art. 3) effettuato da persone fisiche per fini esclusivamente personali (fra i quali potrebbe anche rientrarvi l’attività professionale[3]), purché non destinati ad una comunicazione sistematica o alla diffusione. Al riguardo, si segnala che le proposte di Direttiva precedenti escludevano dal rispettivo ambito di applicazione gli archivi e trattamenti a scopo esclusivamente privato e personale; l’esclusione del termine “privato” non sarebbe casuale[4] bensì determinato dallo scopo di includere i professionisti nell’esenzione. D’altronde, il disegno di legge C/1580 presentato il 20 giugno 1996 nella sua relazione illustrativa asseriva che “l’articolo 3 .. non entra nel merito del genere di ‘scopo personale’, che potrà anche essere legato allo svolgimento di un’attività professionale, sempreché i dati non siano diffusi a terzi, fatta salva la possibilità di comunicazioni episodiche e non sistematiche; tuttavia, anche questo tipo di trattamenti dovrà essere protetto da misure idonee di sicurezza”. Nei riguardi dei Notai - ma anche di altri professionisti - è opportuno considerare che i princìpi che discendono dal segreto professionale facevano ostacolo, anche prima dell’emanazione della legge, ad una diffusione dei dati che non fosse resa imprescindibile da esigenze pubblicistiche o comunque attinenti allo svolgimento dei compiti professionali. In ogni caso, le conseguenze di carattere civile (responsabilità oggettiva ex art. 2050 c.c.[5] prevista all’art. 18) e penale (art. 36) che conseguono alla violazione degli obblighi di sicurezza (art. 15) inducono ad una particolare cautela.

Prima delle modifiche intervenute col citato d. lgs. 255/1997 sembrava talvolta adombrarsi un’interpretazione intesa ad escludere dagli obblighi previsti da questa disciplina i professionisti non aventi la qualifica di pubblici ufficiali. Sennonché, tenendo contro della ratio legis, l’esito dovrebbe essere proprio l’opposto, in quanto le eventuali banche dati tenute da singoli professionisti per proprio conto sono prive di qualsivoglia controllo e possono contenere qualsiasi tipo di informazione, mentre le informazioni contenute nei registri notarili sono determinate dalla legge nella forma e nel contenuto.

Notificazione.- Il trattamento dei dati personali concernenti le persone fisiche (ai sensi dell’art. 26 i trattamenti riguardanti soggetti diversi dalle persone fisiche non sono soggetti a notificazione) deve essere oggetto di notificazione[6] al Garante per la protezione dei dati personali a mezzo raccomandata o mezzo analogo, effettuata preventivamente ed una sola volta (art. 7).

La notificazione (art. 7, comma 4) contiene, fra l’altro, le generalità del titolare (ai sensi dell’art. 1, comma 2, lett. d) si tratta del soggetto legittimato a decidere su finalità e modalità del trattamento dati), le finalità e modalità del trattamento, la natura dei dati, il luogo dove sono custoditi e le categorie di interessati cui i dati si riferiscono, l’ambito di comunicazione e di diffusione dei dati, i trasferimenti di dati previsti verso Paesi non appartenenti all’Unione Europea, una descrizione generale che permetta di valutare l’adeguatezza delle misure tecniche ed organizzative adottate per la sicurezza dei dati, l’indicazione della banca dati e delle sue connessioni, le generalità del responsabile[7] (si tratta del soggetto preposto al trattamento dei dati personali ex art. 1, comma 2, lett. e) nonché la qualità e legittimazione del notificante. Gli iscritti agli albi professionali possono effettuare la notificazione tramite l’ordine professionale (art. 7, comma 5), salvo il disposto del comma 3 dello stesso articolo, laddove dispone che la notificazione sia firmata da notificante e responsabile del trattamento.

L’art. 1 del d. lgs. 255/1997 ha aggiunto all’art. 7 della legge 675/1996, fra l’altro, il comma 5 ter, secondo il quale “Fuori dei casi di cui all’articolo 4, il trattamento non è soggetto a notificazione quando: a) è necessario per l’assolvimento di un compito previsto dalla legge, da un regolamento o dalla normativa comunitaria, relativamente a dati diversi da quelli indicati negli articoli 22 e 24; b) riguarda dati contenuti o provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità di cui all’articolo 20, comma 1, lettera b)[8] ... f) è effettuato, salvo quanto previsto dal comma 5 - bis, lettera b)[9], da liberi professionisti iscritti in albi o elenchi professionali, per le sole finalità strettamente collegate all’adempimento di specifiche prestazioni e fermo restando il segreto professionale” ... h) è finalizzato alla tenuta di albi o elenchi professionali in conformità alle leggi e ai regolamenti”.

Raccolta dei dati.- La legge (art. 9) prescrive le modalità di raccolta ed i requisiti dei dati personali, e quindi impone la correttezza del trattamento, la liceità della raccolta, l’aggiornamento dei dati. Al momento della raccolta dei dati l’interessato o la persona presso la quale sono raccolti i dati personali debbono essere previamente informati oralmente o per iscritto (art. 10, come modificato dall’art. 1 del D. Lgs. 9 maggio 1997, n. 123) dell’iter che seguiranno i dati nonché degli scopi che la raccolta si prefigge. Nel caso dei notai è da considerare che l’obbligo di informazione sia escluso perché: a) si desume per facta concludentia dallo scopo per il quale l’intervento notarile viene richiesto, b) la stessa legge (art. 10, comma 2, l. 675/1996) stabilisce che l’informativa può non comprendere gli elementi già noti alla persona che fornisce i dati, e quindi se si chiedono gli estremi personali ad un soggetto che acquista un immobile o costituisce una società, è a lui ben noto lo scopo della richiesta.

Consenso .- Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso e documentato dell’interessato (art. 11), il che esclude sia i Consigli Notarili ed il Consiglio Nazionale del Notariato (in quanto enti pubblici non economici) che i Notai, in quanto pubblici ufficiali, laddove agiscono nell’esercizio delle loro funzioni. Disposizione da coordinare con l’art. 27, comma primo, laddove dispone che il trattamento di dati personali da parte di soggetti pubblici è consentito soltanto per lo svolgimento delle funzioni istituzionali, nei limiti stabiliti da leggi e regolamenti (come dianzi accennato, la notificazione non è necessaria quando il trattamento è finalizzato alla tenuta di albi o elenchi professionali in conformità a leggi e regolamenti, ai sensi dell’art. 5 - ter lett. h della legge 675/1996, introdotto dal citato d. lgs. 255/1997).

In ogni caso, il consenso non è richiesto, fra l’altro, quando il trattamento riguarda dati raccolti e detenuti in base ad un obbligo previsto dalla legge, da un regolamento o da normativa comunitaria, quando riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque oppure è finalizzato unicamente a scopi di ricerca scientifica o di statistica e si tratta di dati anonimi (art. 12); a sua volta, l’interessato ha diritto di conoscere (art. 13) i dati che lo riguardano, di intervenire su taluni loro aspetti e anche di opporvisi sulla base di legittimi motivi.

Sicurezza.- La sicurezza è uno dei profili più delicati della disciplina (anche per via delle sanzioni penali previste all’art. 36). I dati personali oggetto di trattamento (art. 15) debbono essere custoditi e controllati in relazione allo stato delle conoscenze tecniche. Le misure minime di sicurezza saranno comunque individuate con un emanando regolamento entro 180 giorni dalla data di entrata in vigore della legge 675/1996. In caso, poi, di cessazione del trattamento dei dati, il titolare deve darne preventiva notifica al Garante (art. 16).

Comunicazione e diffusione dei dati.- La comunicazione e la diffusione dei dati personali da parte di privati e di enti pubblici economici è ammessa, fra l’altro, (art. 20) se vi sia il consenso espresso dell’interessato, oppure se i dati provengono da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi e i regolamenti stabiliscono per la loro conoscibilità e pubblicità, oppure in adempimento di un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria.

Dati sensibili.- Il trattamento dei c.d. dati sensibili (idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale), è consentito solo se via sia il consenso scritto dell’interessato e la previa autorizzazione del Garante (art. 22), il quale può rilasciare tali autorizzazioni anche d’ufficio, nei confronti di singoli titolari oppure, con provvedimenti generali, nei riguardi di determinate categorie di titolari o di trattamenti (art. 41, comma 7, l°. 675/1996, come modificato dall’art. 4, comma 1°, d. lgs. 9 maggio 1997, n. 123). Il trattamento dei dati sensibili da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge nella quale siano specificati i dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite. Nel caso dell’attività notarile, i dati sensibili possono confluire solo in modo indiretto e non quale esito di apposita ricerca. Se si costituisce, ad esempio, un’associazione di appartenenti ad un determinato credo o a una certa minoranza sessuale, i dati raccolti ed il conseguente trattamento non riguardano le caratteristiche dei soggetti bensì il costituendo sodalizio. Situazione che comunque esula dal disposto della norma, in quanto sono gli stessi soggetti a far valere le loro connotazioni (i loro “dati sensibili”) ed a renderli pubblici mediante l’intervento notarile. Pertanto, l’attività notarile non coincide con la fattispecie prevista e disciplinata dalla norma né con gli scopi ed i valori dalla stessa tutelati.

Da ultimo, il Garante per la protezione dei dati personali, con provvedimento del 29 novembre 1997, ha emanato l’autorizzazione n. 4/1997 al trattamento dei dati sensibili da parte dei liberi professionisti, che autorizza, anche senza richiesta, i liberi professionisti (ed i loro collaboratori[10]) iscritti in albi o elenchi professionali a trattare i dati sensibili, secondo le prescrizioni ivi previste. Il trattamento deve essere in ogni caso effettuato ai fini del solo espletamento dell’incarico. Detta autorizzazione generale, contenuta nel citato provvedimento, non sembra comunque attagliarsi in tutto allo specifico notarile, in quanto il trattamento dei dati sensibili può essere per il Notaio soltanto l’indiretto esito di un atto che è comunque pubblico. Non è ozioso ribadire che, per la categoria notarile, la qualifica di pubblico ufficiale concorre ulteriormente a determinare obblighi di segretezza e discrezione.

I soggetti pubblici.- Il trattamento di dati personali da parte di soggetti pubblici, esclusi gli enti pubblici economici, è consentito soltanto per lo svolgimento delle funzioni istituzionali, nei limiti stabiliti dalla legge e dai regolamenti (art. 27). Si può ipotizzare - anche se ormai, alla luce delle novità introdotte dal d. lgs. 255/1997 il punto non è dirimente - che i Notai siano da ascrivere alla cennata categoria dei soggetti pubblici, nella misura in cui vi si ricomprenda anche “toute ... autre entité qui exerce des fonctions de service public ou d’intérêt public au moyen de privilèges de puissance publique”[11].

La comunicazione e la diffusione a soggetti pubblici, esclusi gli enti pubblici economici, sono ammesse se previste da norme di legge o regolamento o risultino comunque necessarie per lo svolgimento delle funzioni istituzionali. In tale ultimo caso va data previa comunicazione al Garante, ai sensi dell’art. 7, commi 2 e 3, il quale può vietarla.

La comunicazione e la diffusione di dati personali da parte di soggetti pubblici a privati o a enti pubblici economici sono ammesse solo se previste da norme di legge o di regolamento.

Entrata in vigore.- La legge è entrata in vigore centoventi giorni dopo la sua pubblicazione in Gazzetta Ufficiale, e quindi l’8 maggio 1997 (art. 45). Per i trattamenti non automatizzati (che non riguardino i dati sensibili o la salute) la legge si applica dal 1° gennaio 1998.

Le disposizioni che prevedono il consenso dell’interessato non si applicano nei riguardi dei dati raccolti prima della entrata in vigore della legge o il cui trattamento sia iniziato prima di tale data. Per i trattamenti di dati personali iniziati prima dell’entrata in vigore della legge o nei novanta giorni successivi, le notificazioni prescritte dagli artt. 7 e 28 debbono essere effettuate entro sei mesi dalla data di pubblicazione in Gazzetta Ufficiale del decreto di cui all’art. 33, comma primo, concernente l’ufficio del Garante.

Il Notariato.- Come sopra accennato, la disciplina non riguarda direttamente i Notai, sia perché il cennato art. 3 sottrae dall’ambito della legge il trattamento di dati per finalità esclusivamente personali (fermo restando l’obbligo di rispettare le (peraltro severe) prescrizioni in tema di sicurezza), sia perché ormai il cennato d. lgs. 255/1997 ha escluso l’obbligo di notificazione quando il trattamento sia necessario per l’assolvimento di un compito previsto dalla legge, da un regolamento o dalla normativa comunitaria o comunque quando riguarda dati contenuti o provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque oppure quando è effettuato, da liberi professionisti iscritti in albi o elenchi professionali, per le sole finalità strettamente collegate all’adempimento di specifiche prestazioni e fermo restando il segreto professionale. Sono tutte ipotesi legislative che concorrono a delineare la palese estraneità della categoria notarile a questa disciplina, come d’altronde era nello spirito della legge e nelle sue concrete finalità.

Diverso discorso riguarda, invece, gli organismi istituzionali del Notariato. Abbiamo dianzi rilevato che non è necessario (art. 11) il consenso dell’interessato per il trattamento di dati personali da parte degli enti pubblici non economici; in ogni caso non sarebbe necessario quando (art. 12) i dati vengono raccolti e detenuti in base ad obblighi prescritti dall’ordinamento; inoltre, non occorre la notificazione quando il trattamento sia finalizzato alla tenuta di albi o elenchi professionali in conformità alle leggi e ai regolamenti (art. 5 - ter, lett. h).

Nel caso dei dati raccolti dai Consigli Notarili per l’osservanza delle norme deontologiche, si è nell’ambito consentito dall’art. 27, che fa appunto salvo il trattamento curato dai soggetti pubblici per l’assolvimento di finalità istituzionali. Non è necessaria la notificazione in quanto la lett. a del comma 5 ter dell’art. 7 della legge introdotta dal d. lgs. 255/1997 la esclude quando il trattamento è necessario per l’assolvimento di un compito previsto dalla legge; del pari non occorre il consenso in quanto l’art. 12, comma 1, lett. a, lo esclude quando il trattamento riguarda dati raccolti e detenuti in base ad un obbligo previsto dalla legge.

La disciplina sulla protezione dei dati personali è, per sua natura e per il contesto complesso in cui si inserisce, un vero work in progress, che potrebbe quindi variare a seconda delle esigenze e delle problematiche che dovessero emergere. Quanto al Notariato[12], l’evoluzione normativa qui segnalata ha confermato le prime indicazioni circa la sostanziale estraneità della categoria, in quanto da una parte i suoi obblighi di trattamento discendono da norme di legge e, dall’altra, le sue caratteristiche stesse, improntate alla tutela della riservatezza ed al rispetto del segreto professionale la espungono, in modo per così dire istituzionale, dalle potenziali fonti di lesione del diritto alla riservatezza.

[1] La legge 1° aprile 1981, n. 121, recante nuovo ordinamento dell’Amministrazione della pubblica sicurezza, all’art. 8 impone l’obbligo di notificare l’esistenza di archivi magnetici contenenti dati di qualsiasi natura su cittadini italiani.

[2]G. Buttarelli, Banche dati e tutela della riservatezza, Milano, 1997, p. 153.

[3] Così, Buttarelli, cit., p. 193.

[4]In questi termini, Buttarelli, cit., p. 193, nota (186).

[5]Sul punto, M. Franzoni, Comm. Scialoja Branca, sub art. 2050 c.c., 1993, p. 536.

[6] Si segnalava che erano soggetti all’obbligo di notificazione anche i trattamenti che si riferiscono a dati detenuti per legge (Buttarelli, cit., p. 235), anche se tale interpretazione postulava l’esistenza di un obbligo di informare il Garante dell’esistenza di una legge e dei suoi effetti, tracce del quale si rinvengono ad es., nell’art. 12, laddove dispone che il consenso dell’interessato non è richiesto nei confronti dei dati raccolti e detenuti in base ad un obbligo previsto dall’ordinamento. L’art. 18 della Direttiva 95/46/CE consentiva agli Stati di adottare determinate (ragionevoli) esenzioni, delle quali l’Italia ha usufruito con il citato d . lgs. 255/1997.

[7] Ai sensi dell’art. 8, il responsabile è un soggetto tecnicamente idoneo che agisce sulla base delle istruzioni del titolare, tant’è che i suoi compiti debbono essere analiticamente specificati per iscritto. Nel caso del Notaio, la responsabilità, anche in seno tecnico, è da ascrivere soltanto a lui, in quanto pubblico ufficiale, essendo improponibile che altri possa essere designato, anche sul solo piano tecnico, quale responsabile di “registri” (in senso lato) che la legge gli affida e che lui deve essere in grado di controllare e custodire.

[8]” Art. 20 (requisiti per la comunicazione e la diffusione dei dati)

1. La comunicazione e la diffusione dei dati personali da parte di privati e di enti pubblici economici sono ammesse:

a) Con il consenso espresso dell’interessato;

b) se i dati provengono da pubblici registri, elenchi atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi ed i regolamenti stabiliscono per la loro conoscibilità e pubblicità” (omissis)

[9] Si tratta della norma che concerne i giornalisti

[10]”L’autorizzazione è rilasciata anche ai sostituti e agli ausiliari che collaborano con il libero professionista ai sensi dell’art. 2232 del codice civile, ai praticanti e ai tirocinani presso il libero professionista, qualora tali soggetti siano titolari di un autonomo trattamento o siano contitolari del trattamento effettuato dal libero professionista”(art. 1, comma 3°).

[11] Si tratta della definizione di organismi pubblici fornita dalla Raccomandazione del Consiglio d’Europa n. R (91) 10 del 9 settembre 1991 in tema di comunicazione a terzi dei dati personali detenuti da organi pubblici, citata da L. Grisostomi Travaglini (commento all’art. 27, in: La tutela dei dati personali - Commentario alla l. 675/1996, a cura di E. Giannantonio, M. G. Losano, V. Zeno - Zencovich, Padova, 1997, p. 246 ss.), il quale annovera fra i soggetti pubblici anche soggetti estranei alla pubblica amministrazione che esercitano attività amministrativa.

[12] Da riscontri effettuati in Germania è emersa l’estraneità del Notariato alla disciplina della privacy; al riguardo, il Deutsche NotarInstitut ha scritto a questo Consiglio il due giugno 1997 informando che, ad avviso della Bundesnotarkammer, dalla Direttiva comunitaria non discendono conseguenze nei confronti del Notariato. Poiché si tratta pur sempre di applicare una disciplina comunitaria, tale prospettiva non dovrebbe essere priva di riflessi nella considerazione del nostro caso.