La notifica al Garante è una dichiarazione con la quale si comunica al Garante l’esistenza di un’attività di raccolta e di utilizzazione di dati personali. L’articolo 37 indica sia i dati per i quali è necessaria la notifica al Garante sia quelli esclusi, disponendo che il titolare è tenuto a notificare al Garante il trattamento solo se questo riguarda determinate tipologie di dati.

I trattamenti soggetti a notifica sono elencati al comma 1 dell’articolo 37, del decreto legislativo 196/2003. Tale elenco non deve considerarsi tassativo, in quanto il Garante può individuare tramite provvedimento altri trattamenti soggetti a notifica.

Trattamenti soggetti a notifica

Esaminiamo quali sono le tipologie di dati per le quali bisogna effettuare una notifica.

Dati genetici o biometrici

Sono esonerati da tale notifica coloro che esercitano le professioni sanitarie e gli avvocati e, naturalmente, il trattamento non deve recare pregiudizio ai diritti e alle libertà dell’interessato. L’esonero opera inoltre per l’attività svolta da medici titolari di un trattamento in materia di igiene e sicurezza del lavoro e della popolazione.

La biometria è la tecnica di identificazione automatica o di verifica dell’identità di un soggetto sulla base di caratteristiche fisiche o comportamentali.

Rilevamento di posizione geografica

Dati che indicano la posizione geografica di persone o oggetti mediante una rete di comunicazione elettronica. La norma si riferisce alla localizzazione di persone o oggetti, alla rilevazione della loro presenza in determinati luoghi, mediante reti di comunicazione elettronica gestite o accessibili dal titolare del trattamento.

La localizzazione va notificata solo quando permette di individuare in maniera continuativa la presenza, in un’area geografica, di una persona in base ad apparecchiature o dispositivi elettronici detenuti dal titolare o dalla persona oppure collocati sugli oggetti.

La localizzazione deve permettere di risalire all’identità degli interessati, anche indirettamente attraverso appositi codici. Non devono essere quindi notificati al Garante i trattamenti di dati personali che consentano solo una rilevazione non continuativa del passaggio o della presenza di persone o oggetti, effettuata, ad esempio, all’atto della:

• Registrazione di ingressi o uscite presso luoghi di lavoro, ad esclusione della registrazione effettuato con dati biometrici ( perché in tal caso la notificazione è necessaria).
• Lettura di carte elettroniche per fornire beni, prestazioni o servizi quali, ad esempio, carte di pagamento, carte di credito o di fidelizzazione, tuttavia i dati non devono essere rilevati con strumenti elettronici volti ad analizzare abitudini o scelte di consumo, poiché in tal caso la notificazione è necessaria.