Logo adSalsa

marco maglio 2“Se una società italiana gestisce una lista di utenti stranieri (nella fattispecie spagnoli) la notificazione dovrebbe essere davanti al Garante Italiano o alle autorità straniere nella fattispecie spagnole? Il database fisicamente é in Italia,ma la promozione dell’attività in Spagna. Che procedura bisogna gestire in questo caso?”

L’esperto risponde al vostro quesito:

La normativa italiana prevede che il trattamento dei dati è soggetto alle regole vigenti nel paese in cui ha sede il titolare del trattamento stesso. Quindi a prescindere dalla nazionalità dei soggetti cui si riferiscono i dati occorre tenere conto della nazionalità del titolare del trattamento e applicare la legge del suo paese. In questo caso se chi tratta i dati è un’azienda italiana la legge applicabile e quella del nostro Paese. Occorrerà quindi dare l’informativa prevista dall’art. 13 del Dlgs 196/2003 e se non si rientra in uno dei casi previsti dall’art. 24 (casi nei quali il consenso non è necessario) occorrerà anche raccogliere il consenso.

Aggiungo che la normativa italiana non prevede nessuna procedura di notificazione riferita a singole liste trattate. Semmai si prevede la necessità di effettuare una notificazione riferita a specifiche tipologie di trattamenti. Questo vuol dire che va verificato se il titolare tratti dati secondo quanto previsto dall’art. 37 del Dlgs 196/2003 che riporto qui di seguito

1. Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda:
a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;
b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;
c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;
d) dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;
e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;
f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.

 

Se il trattamento non è uno di quelli qui sopra previsti non c’è nessun obbligo di notificazione .

La notificazione si esegue con le modalità descritte qui

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/490188

Nel caso specifico quindi se la società è italiana si applica la legge italiana anche se la promozione riguarda cittadini residenti in Spagna. La notificazione va fatta solo se la lista è creata al fine di profilare i clienti e in ogni caso andrebbe fatta presso il Garante Italiano secondo le modalità descritte nel sito del Garante al link sopra riportato.

Avv. Marco Maglio

Esperto in privacy e diritto applicato a e-commerce, marketing e nuove tecnologie