Il trattamento dei dati personali diversi da quelli sensibili e giudiziari necessita di un verifica preliminare da parte del Garante della Privacy, sulla base di indicazioni e parametri predisposti in applicazione dei principi generali sanciti dal Codice in materia di protezione dei dati personali.

A cura di Daniele Sorelli

La verifica preliminare ai sensi dell’art. 17 del Codice in materia di protezione dei dati personali.

I. Premessa

L’articolo 17 del Decreto legislativo 30 giugno 2003, n. 196, c.d. Codice in materia di protezione dei dati personali, titolato “Trattamento che presenta rischi specifici”, dopo aver previsto al comma 1 che “[…] Il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, è ammesso nel rispetto di misure ed accorgimenti a garanzia dell’interessato, ove prescritti. […]” prevede al successivo comma che “[…] Le misure e gli accorgimenti di cui al comma 1 sono prescritti dal Garante in applicazione dei principi sanciti dal presente codice, nell’ambito di una verifica preliminare all’inizio del trattamento, effettuata anche in relazione a determinate categorie di titolari o di trattamenti, anche a seguito di un interpello del titolare. […]”.

Il trattamento ex post dei suddetti dati personali necessita, dunque, di un verifica preliminare da parte del Garante della Privacy, sulla base di indicazioni e parametri predisposti in applicazione dei principi generali sanciti dal Codice in materia di protezione dei dati personali.

Orbene, malgrado le molteplici prescrizioni adottate dal Garante, le quali variano a seconda della tipologia di dati personali trattati e di finalità di trattamento, per quel che qui rileva possiamo rinvenire alcuni principi comuni regolatori della procedura di verifica preliminare.

II. Principi e prescrizioni

II.a. Le prescrizioni cui deve attenersi il trattamento dei dati proposto dall’interessato variano sulla base dei principi contenuti nel Codice in materia di protezione dei dati personali.

Comune denominatore delle suddette prescrizioni è rappresentato dalla conformità dell’istanza di verifica preliminare ai principi di non eccedenza, finalità, correttezza e di proporzionalità, stabiliti dagli artt. 3 e 11, comma 1, lett. d) ed e) del Codice, affinché, dal trattamento stesso, non conseguano significative lesioni alla riservatezza dei soggetti interessati (cfr., ex multis, Registro dei provvedimenti n. 202 del 16 maggio 2016 del garante della Privacy).

Ulteriori principi enucleati dal Garante per la conformità dell’istanza di verifica preliminare sono rinvenibili nella “liceità del trattamento dei dati”, che si rinviene nella necessità che il trattamento debba avvenire riducendo al minimo l’utilizzo di dati personali (“principio di necessità” ai sensi dell’articolo 3 del Codice), oltre che nel rispetto dei seguenti principi (articolo 11 del Codice) e precisamente:

• liceità e correttezza del trattamento;
• finalità del trattamento;
• esattezza e aggiornamento dei dati;
• pertinenza, completezza e non eccedenza dei dati raccolti rispetto alle finalità del trattamento;
• conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento.

II.b. Alle superiori considerazioni, si aggiunga altresì che la suddetta istanza e, coerentemente, gli eventuali allegati devono essere comprensivi degli elementi richiesti dall’art. 13 del Codice (la c.d. “informativa”) al precipuo fine di fornire una descrizione sufficientemente chiara del tipo di trattamento cui saranno sottoposti i dati ed alla conservazione degli stessi in relazione alla temporaneità prefissata dell’applicazione proposta.

III. Sull’istanza di verifica preliminare: poteri e sanzioni del Garante della Privacy

III.a Ai sensi dell’art. 31 del Codice, il titolare del trattamento dei dati personali è obbligato ad adottare misure di sicurezza idonee a ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o trattamento dei dati personali non consentito o non conforme alle finalità della raccolta.

In particolare, ai sensi della normativa vigente ed alla luce delle molteplici prescrizioni impostate dal Garante della Privacy, il titolare deve adottare le misure minime di sicurezza (articolo 33 del Codice e Allegato B al Codice) finalizzate ad assicurare un livello minimo di protezione dei dati personali.

Pertanto, l’omessa applicazione delle suddette misure minime di sicurezza è punita “[…] con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro (articolo 162, comma 2 bis del Codice) e con la sanzione penale dell’arresto fino a 2 anni (articolo 169 del Codice) […]”.

III.b. Nel caso in il trattamento dei dati personali, pur non coinvolgendo dati sensibili o dati giudiziari, presenti, tuttavia, rischi specifici “per i diritti e le libertà fondamentali ovvero per la dignità delle persone” in relazione alla natura particolare dei dati trattati (ad esempio: dati biometrici) oppure, alle modalità del trattamento (ad esempio: sistemi di raccolta delle immagini associate a dati biometrici) oppure ancora, agli effetti che il trattamento può determinare, il Garante per la protezione dei dati personali, ai sensi dell’art. 17 del Codice, su richiesta del titolare o d’ufficio, effettua una verifica preliminare all’inizio del trattamento.

All’esito della suddetta verifica preliminare, il Garante può prescrivere misure ed accorgimenti particolari a tutela dell’interessato, con la conseguenza che nel caso in cui il Garante rilevi difformità o erroneità in sede di verifica preliminare, rispetto ai principi e alle prescrizioni imposte, può denegare o sospendere l’autorizzazione al trattamento dei dati, oppure imporre di modificare ed integrare le parti censurate della richiesta dalla presente verifica.

IV. Casistica

La numerosa casistica di provvedimenti e di prescrizioni adottate dal Garante consente, dunque, di definire il nucleo principale di caratteristiche e di elementi necessari a predisporre l’istanza di verifica preliminare, proposta dall’interessato.

Ad ogni buon conto ed in relazione al caso in esame, si può far riferimento a due recenti provvedimenti adottati dal Garante della Privacy, attinenti la richiesta di verifica preliminare sul trattamento di dati personali scaturiti dalla rilevazione della posizione geografica tramite un’applicazione per smartphone (caso Zuritel) e l’invio di spot pubblicitari mirati (caso Sky – progetto “Adsmart”).