Il Garante per la protezione dei dati personali sta intensificando le verifiche ispettive dirette ad accertare l’adeguamento al Testo Unico privacy (D.Lgs. 196/03, infra T.U.).

Attraverso il Comando Nucleo Speciale funzione pubblica e privacy della G.d.F., l’autorità Garante ha richiesto informazioni ai sensi dell’art. 157 T.U. ad alcuni iscritti al Consiglio nazionale del Notariato, con particolare riferimento a:

1. titolarità dei trattamenti di dati personali (nel caso di libero professionista che esercita la professione in forma non associata il titolare è la persona fisica in quanto tale; nel caso di studi associati, il titolare è l’entità nel suo complesso);
2. designazione del responsabile (figura facoltativa designata dal titolare e predisposta a verificare i corretti adempimenti di legge) e degli incaricati del trattamento (tutte le persone fisiche autorizzate a compiere operazioni di trattamento, ad es. collaboratori dello studio, praticanti, segretarie);
3. modalità e finalità della raccolta di dati personali;
4. tipologia, natura, tempi di conservazione dei dati trattati ed eventuale comunicazione a terzi degli stessi;
5. modalità con le quali si è dato adempimento a quanto disposto dal Codice in ordine all’obbligo di informativa di cui all’art. 13 ed all’eventuale raccolta del consenso.

La figura del notaio è complessa, atteso che si pone quale titolare di un ufficio pubblico che svolge la sua funzione come professionista.

La natura pubblica dell’ufficio del notaio è senz’altro confermata dalla tipicità dei fini dell’attività notarile; dalla sottoposizione di detta attività ai principi di doverosità e di imparzialità, nonché ai controlli pubblici che possono investire anche singoli atti; dalla predeterminazione della forma degli atti e della procedura da seguire.

Allo stesso tempo, appare, comunque, indubbia la coesistenza nell’attività notarile degli aspetti propri della libera professione (la mancanza di clientela fissa, il diritto di percepire direttamente i compensi, l’onere di sopportare le spese di studio, il carattere personale della responsabilità, etc.).

 In ogni caso i notai – in quanto soggetti privati che esercitano pubbliche funzioni – devono ritenersi compresi nel novero dei soggetti pubblici e, pertanto, tenuti ad osservare:

1. le norme di carattere generale, inserite nei titoli I e II e nel capo I del titolo III del T.U.;

1. le norme specifiche per i soggetti pubblici dettate, ad integrazione delle prime, nel capo II del titolo III.

Tale disciplina non costituisce una deroga all’applicazione della normativa generale, né un privilegio, bensì “un regime speciale finalizzato a bilanciare correttamente le libertà personali degli interessati con l’interesse pubblico ad una corretta ed imparziale amministrazione della cosa pubblica”(cfr.: J. Monducci, Le condizioni di liceità del trattamento dei dati in Aa.Vv., Il codice in materia di protezione dei dati personali, Commentario sistematico cit., 109).

Le norme ivi contenute si affiancano alle regole generali sul segreto professionale e sono volte ad assicurare l’integrità e la disponibilità dei dati, indicando come gli stessi debbano essere custoditi e trattati in concreto.

Opportuno, pertanto, riepilogare i principali adempimenti, la cui inosservanza è punita con le sanzioni (anche penali) indicate nella tabella allegata.   

IL TRATTAMENTO DI  DATI PERSONALI COMUNI: Ai fini del T.U. si intende per "trattamento" qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca dati.

Nella loro duplice veste di soggetti pubblici e liberi professionisti, i notai dovranno attenersi alle regole che disciplinano le modalità di trattamento per entrambe le figure.
      
Quanto ai soggetti pubblici, il trattamento dei dati personali comuni (ovvero qualunque informazione relativa a persona fisica o giuridica, ente o associazione, identificati o identificabili, anche indirettamente) è disciplinato dagli artt. 18 e 19 del T.U.:

-  il trattamento dei dati comuni è consentito anche in assenza di norma di legge o di regolamento purché nello esclusivo svolgimento di finalità istituzionali. In tali fattispecie non occorre la preventiva richiesta del consenso dell’interessato. La finalità istituzionale, quindi, si pone quale “requisito necessario e sufficiente per l’inizio e la prosecuzione del trattamento”;

- la comunicazione dei dati comuni da un soggetto pubblico ad un altro soggetto pubblico è ammessa unicamente quando sia prevista da una norma di legge o di regolamento;

- la comunicazione e la diffusione dei dati comuni a privati o ad enti pubblici economici deve essere legittimata da una norma di legge o di regolamento.

Alla luce di tali disposizioni non emergono particolari problemi per l’attività pubblica del notaio considerato che il trattamento dei dati, così come le eventuali comunicazioni a terzi sono effettuate in adempimento di norme di legge.

Con particolare riferimento all’art. 743 c.p.c., il notaio pubblico depositario, il quale rilascia copia autentica di un atto che detiene, effettua una comunicazione dei dati personali a privati che non appare lesiva della riservatezza dei soggetti che sono stati parti dell’atto perché non solo è realizzata nello svolgimento di funzioni istituzionali, ma è lecita, ai sensi dell’art. 19, terzo comma, d.lgs. n. 196/2003 essendo imposta da una norma di legge, ossia l’art. 743 c.p.c..

Peraltro, anche la disciplina dei soggetti privati (artt. 23 e 24 T.U.), applicabile ai notai per le attività che non rientrano nelle funzioni notarili tipiche (ad esempio, la consulenza), non richiede il consenso dell’interessato nella misura in cui il trattamento dei dati personali comuni  risulta necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria.

In ogni caso il trattamento sarà necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato; ovvero relativo a dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque (fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati).
 
IL TRATTAMENTO DEI DATI PERSONALI SENSIBILI E/O GIUDIZIARI: Nell’ambito dell’attività notarile possono costituire oggetto di trattamento, anche se in modo occasionale, i dati sensibili e giudiziari in relazione ai quali deve essere impiegata particolare cautela.

Ai fini del T.U. si intende per dato sensibile ogni dato idoneo a rivelare l’origine razziale od etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale nonché i dati idonei a rivelare lo stato di salute e la vita sessuale.

I dati giudiziari sono, invece, tutti i dati idonei a rivelare i provvedimenti di cui al casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ex artt. 60 e 61 c.p.p.   
   
Il notaio è innanzitutto sottoposto all’obbligo di trattare i dati sensibili e giudiziari secondo modalità volte a prevenire violazioni dei diritti, delle libertà fondamentali e della dignità dell'interessato, ex art. 22 primo comma T.U..

Ai sensi dell’art. 26 T.U. i dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell’interessato e previa autorizzazione del garante, nell’osservanza dei presupposti e dei limiti stabiliti dal codice, nonché dalla legge e dai regolamenti.   

Il Garante, in data 28 giugno 2007 ha rinnovato l’autorizzazione al trattamento dei dati sensibili da parte dei liberi professionisti (autorizzazione n. 4/2007).

Si tratta di un’autorizzazione generale contraddistinta dalla puntuale indicazione dell'ambito di applicazione, degli interessati ai quali i dati si riferiscono, delle finalità del trattamento, delle categorie di dati, delle modalità di trattamento, conservazione, comunicazione e diffusione degli stessi.

Rimane fermo il generale divieto di diffusione (ossia, il dare conoscenza dei dati personali a soggetti indeterminati) dei dati idonei a rivelare lo stato di salute sancito all’art. 22, ottavo comma, per i soggetti pubblici e all’art. 26, quinto comma, per i soggetti privati.

Il trattamento di dati giudiziari (per il quale sussiste un regime uniforme per i soggetti pubblici e per quelli privati) è autorizzato da espressa disposizione di legge o provvedimento del Garante che specifica le rilevanti finalità di interesse pubblico del trattamento, i tipi di dati e di operazioni eseguibili (artt. 21, primo comma, e 27).

Al riguardo, il trattamento di dati giudiziari effettuato dal notaio, non solo è previsto dalla legge (e, comunque, si tratta di dati ricavabili da registri o documenti pubblici), ma è anche oggetto di previsione nell’autorizzazione generale (n. 7/2007 dl 28.06.07) al trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici.

Qualora il notaio rivesta la qualità di delegato alle esecuzioni immobiliari, il trattamento dei dati personali, direttamente correlati alla trattazione giudiziaria di affari e di controversie, si intende effettuato, ex art. 47, per ragioni di giustizia.

Ad essi non sono applicabili le norme concernenti le modalità di esercizio, il riscontro dell’interessato, l’informativa, la cessazione del trattamento, le regole ulteriori per i soggetti pubblici, la notificazione dei trattamenti, il trasferimento all’estero, la tutela amministrativa.

LE MISURE MINIME DI SICUREZZA: Il notaio, come ogni altro titolare del trattamento, deve adottare le misure minime di sicurezza individuate dagli artt. 31 e seg. del T.U. nonché dal disciplinare tecnico (allegato B del T.U.).

Anche la redazione del Documento Programmatico Sulla Sicurezza costituisce una misura minima di sicurezza; il notaio lo deve redigere se tratta dati sensibili e/o giudiziari con strumenti elettronici (art. 34 comma 1 lett. G del T.U. e regola 19 dell’Allegato b).

Con particolare riferimento ai dati sensibili e/o giudiziari (ad es. la documentazione di supporto relativa ad una interdizione), il notaio dovrà attenersi alle seguenti regole:

1. i dati sensibili o giudiziari devono essere protetti contro l'accesso abusivo, di cui all'art. 615-ter del codice penale, mediante l'utilizzo di idonei strumenti elettronici (art. 20);
2. devono essere impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti (art. 21);
3. i supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati devono essere distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili (art. 22);
4. devono essere  adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni (art. 23);
5. quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate (art. 28);
6. l'accesso agli archivi contenenti dati sensibili o giudiziari deve essere controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, devono essere identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate (art. 29).

 
I TEMPI DI ADOZIONE: Il Testo Unico privacy, dopo una serie di proroghe, è entrato definitivamente in vigore il 31.03.2006.

Entro tale data, pertanto, dovevano essere adottate tutte le misure di sicurezza indicate dal T.U.

LE MISURE SPECIFICHE PER I TRATTAMENTI EFFETTUATI CON STRUMENTI ELETTRONICI: L’adozione di un sistema di autenticazione informatica (password di accesso ai sistemi informatici), costituisce una misura minima che va adottata solo se il trattamento è effettuato con strumenti elettronici e ad esclusione dell’ipotesi in cui i dati personali siano destinati alla diffusione (regola 11 dell’allegato b) del codice).

Sul punto, peraltro, è opportuno evidenziare che la conoscibilità e/o pubblicità di alcuni dati e documenti trattati dal notaio non concreta la fattispecie della diffusione, che il Testo unico stesso definisce come “il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione” (art. 4 comma 1 lett. m) del codice).

Trovano applicazione al trattamento di dati personali effettuato dai notai, a seconda dei casi, anche le misure minime di cui alle regole 15-18 dell’allegato B).
A titolo esemplificativo:

1. aggiornamento annuale della lista degli incaricati e dei profili di autorizzazione;
2. protezione dei dati da intrusione di software pericolosi;
3. salvataggio dei dati mediante predisposizione di copie di sicurezza;
4. aggiornamento del software per eliminare la vulnerabilità degli strumenti elettronici;
5. tenuta di un registro delle verifiche periodiche (con cui il titolare dimostra l’osservanza dei termini previsti dalle regole 5 - modifica delle password ogni sei mesi in caso di trattamento di dati personali e ogni tre mesi in caso di dati sensibili e/o giudiziari -  e 16 dello stesso allegato B (aggiornamento con cadenza almeno semestrale degli strumenti elettronici idonei volti ad evitare il rischio d’intrusione).

L’INFORMATIVA: Il notaio, quale titolare del trattamento, deve fornire l’informativa salvo nelle ipotesi individuate dal comma 5 dell’art. 13 del codice, che si riferiscono al caso in cui la raccolta dei dati personali abbia luogo non presso l’interessato, ma presso terzi.

Possono, peraltro, essere utilizzate formule sintetiche e scritte, omettendo inoltre gli elementi dell’informativa già noti alla persona che fornisce i dati.

CONSERVAZIONE E CESSAZIONE DEI DATI: I notai devono rispettare i principi generali di cui all’art. 11 del codice anche per quanti riguarda i principi di conservazione dei dati (ovvero per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati).

Occorre, però, tener conto di obblighi di media – lunga conservazione dei dati previsti da altre disposizioni di legge riguardanti l’attività notarile, nonché della specifica natura e funzione degli atti da redigere, che può richiedere un termine ampio o indeterminato di conservazione.

Nel  caso di cessazione del trattamento, per qualsiasi causa, si ritiene che il notaio debba rispettare il dettato dell’art. 16 il quale consente l’ultrattività del trattamento, ossia ammette la cessione ad altro titolare dei dati, purché vengano destinati ad un trattamento compatibile con gli scopi per i quali sono raccolti, ovvero conservati o ceduti ad altro titolare, per scopi storici, statistici o scientifici, in conformità alla legge, ai regolamenti, alla normativa comunitaria.

Appare conforme alle illustrate finalità il trasferimento degli atti e di repertori all’Archivio notarile in caso di cessazione dell’attività o di trasferimento in altro distretto.

LA NOTIFICAZIONE: Il notaio deve notificare il trattamento solo se l’attività rientra in uno dei casi individuati specificamente dall’art. 37 del codice e non è oggetto di esonero in base ai provvedimenti del garante.

In concreto, sembra poter emergere l’eventualità della notifica solo nei casi di cui alla lett. f) del citato art. 37 (ovvero dati registrati in apposite banche dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti).

Peraltro, tale ipotesi non è ravvisabile nei casi di stipulazione di contratti di finanziamento o di levata di protesti (e tenuta del relativo repertorio).

Sul punto, la dottrina ha rilevato che il trattamento di cui alla lett. f) dell’art. 37 T.U.  è quello effettuato dalle cd. “centrali rischi” e il Garante ha precisato che sono sottratti all’obbligo di notificazione i trattamenti di dati personali effettuati da soggetti pubblici per la tenuta di pubblici registri o elenchi conoscibili da chiunque (punto 6, lett. a) della deliberazione 31 marzo 2004.

Sono, altresì, sottratti all’obbligo di notifica, i trattamenti registrati in banche dati utilizzate in rapporti con l’interessato di fornitura di beni, prestazioni o servizi, o per adempimenti contabili o fiscali, effettuati da libero professionisti od organismi (punto 6, lett. b), della citata deliberazione, come integrata dai Chiarimenti sui trattamenti da notificare, 23 aprile 2004). 

PRINCIPALI ILLECITI E RELATIVE SANZIONI
INTRODOTTE DAL D.LGS. 196/2003

ILLECITI CIVILI	SANZIONI
Art. 161    Assenza informativa privacy	Sanzione da 3.000  a 18.000 euro.
Assenza informativa privacy per dati sensibili o giudiziari o in caso di trattamenti che presentano rischi specifici o di maggiore rilevanza del pregiudizio	Sanzione da  5.000 a 30.000 euro (moltiplicabile per 3 a seconda delle condizioni economiche del contravventore).
Art. 163   Omessa o incompleta notificazione al Garante	Sanzione da 10.000 a  60.000 euro.
Art. 164   Omissione di fornire informazioni o esibire documenti richiesti dal Garante Privacy	Sanzione da 4.000 a  24.000 euro.
ILLECITI PENALI	SANZIONI
Art. 167 Trattamento illecito di dati personali	Reclusione da 6 mesi a 3 anni.
Art. 168 Falsità nelle dichiarazioni e notificazioni al Garante	Reclusione da 6 mesi a 3 anni
Art. 169 Omessa adozione di misure necessarie alla sicurezza dei dati	Arresto fino a 2 anni o sanzione amministrativa, pagamento di una somma da 10.000 a 50.000 euro Possibile estinguere il reato ex art. 169 T.U., pagando una somma di denaro se ci si regolarizza entro il termine prescritto (non + di 6 mesi)
Art. 170 Inosservanza dei provvedimenti del Garante	Reclusione da 3 mesi a 2 anni.