LE RECENTI SEMPLIFICAZIONI AL
CODICE DELLA PRIVACY: ATTUAZIONE
PRATICA IN AZIENDA
Vicenza, 6 Ottobre 2011
Prof. Avv. . Alessandro del Ninno
[email protected]
CONSIDERAZIONI INTRODUTTIVE
CONSIDERAZIONI INTRODUTTIVE
Nei mesi scorsi la normativa italiana sul trattamento dei dati
personali ha subito rilevanti modifiche e aggiornamenti. Si va dal
recente Decreto Sviluppo (decreto legge 13 maggio 2011 n. 70
convertito, con modificazioni, dalla legge 12 luglio 2011, n. 106) –
che ha introdotto alcune “semplificazioni” all’impianto del Codice
della privacy - fino alla nuova disciplina sul trattamento dei dati
personali per finalità di marketing effettuato tramite telefono o
posta ordinaria (con le nuove norme – per l’uso del telefono – di
modifica dell’art. 130 del Codice della privacy e di attivazione del
Registro delle Opposizioni prevista dal d.p.r. 178/2010 e quelle sul
marketing postale contenute nel citato Decreto Sviluppo).
Inoltre, anche il Garante è intervenuto con l’adozione di alcuni
Provvedimenti Generali di rilevante impatto organizzativo in
azienda, come quello del 16.6.2011 sull’outsourcing delle attività di
marketing (“Titolarità del trattamento di dati personali in capo ai
soggetti che si avvalgono di agenti per attività promozionali”).
SEMPLIFICAZIONI NEI RAPPORTI CON LE IMPRESE
Art. 5 – comma 3-bis del Codice della privacy
Il trattamento dei dati personali relativi a persone
giuridiche, imprese, enti o associazioni effettuato
nell'ambito di rapporti intercorrenti esclusivamente tra i
medesimi soggetti per le finalità amministrativo contabili, come definite all'articolo 34, comma 1-ter,
non è soggetto all'applicazione del presente codice.
CHE COSA SIGNIFICA IN PRATICA?
SEMPLIFICAZIONI NEI RAPPORTI CON LE IMPRESE
Intanto occorre delimitare con precisione il campo
applicativo della semplificazione.
L’intera disciplina sul trattamento dei dati personali
(informative, consenso, misure di sicurezza, notificazione
dei trattamenti, etc) è inapplicabile:
A.
ai dati delle persone giuridiche in quanto
autonomamente
considerati
[più
chiaramente,
l’interessato - così come definito dall’art. 4, comma 1,
lettara (i) del Codice della privacy è in questi casi “la
persona giuridica, l’ente o l’associazione cui si riferiscono
i dati personali”]
SEMPLIFICAZIONI NEI RAPPORTI CON LE IMPRESE
B.
ai dati delle persone giuridiche che siano oggetto di
trattamento in forza di un già esistente rapporto
“intercorrente esclusivamente tra le aziende interessate”
(casi di esclusione: ricerca potenziali fornitori,
comunicazione di dati di un impresa ad altre imprese da
parte di un’azienda, etc);
C. ai dati delle persone giuridiche che siano oggetto di
trattamento per finalità amministrativo - contabili, come
definite all'articolo 34, comma 1-ter.
DEFINIZIONE DI FINALITA’ AMMINISTRATIVOCONTABILI
Già il Garante aveva provato a dare una definizione di
“finalità amministrativo-contabili”, allora normativamente
assente, chiarendo nel Provvedimento del 19.6.2008
(“Semplificazioni di taluni adempimenti in ambito pubblico
e privato rispetto a trattamenti per finalità amministrative
e contabili”) che:
“Diverse realtà, specie imprenditoriali di piccole e medie
dimensioni, trattano dati, anche in relazione a obblighi
contrattuali, precontrattuali o di legge, esclusivamente per
finalità di ordine amministrativo e contabile (gestione di
ordinativi, buste paga e di ordinaria corrispondenza con
clienti, fornitori, realtà esterne di supporto anche in
outsourcing, dipendenti)”.
DEFINIZIONE DI FINALITA’ AMMINISTRATIVOCONTABILI
Ancora il Garante, aveva chiarito casi tipici di
trattamenti dei dati personali per finalità amministrativocontabili:
“trattamenti con strumenti elettronici finalizzati alla
gestione dell'autoparco aziendale, alle procedure di
acquisto dei materiali di consumo, alla manutenzione
degli immobili sociali” (F.A.Q. 24 del Provvedimento
27.11.2008 in tema di amministratori di sistema).
DEFINIZIONE DI FINALITA’ AMMINISTRATIVOCONTABILI
Ora è invece l’art. 34, comma 1-ter del Codice della
privacy a fornire una definizione normativa (che era
sistematicamente meglio inserire all’art. 4):
Ai fini dell'applicazione delle disposizioni in materia di protezione
dei dati personali, i trattamenti effettuati per finalità amministrativo
- contabili sono quelli connessi allo svolgimento delle attività di
natura organizzativa, amministrativa, finanziaria e contabile, a
prescindere dalla natura dei dati trattati. In particolare,
perseguono tali finalità le attività organizzative interne, quelle
funzionali
all'adempimento
di
obblighi
contrattuali
e
precontrattuali, alla gestione del rapporto di lavoro in tutte le sue
fasi, alla tenuta della contabilità e all'applicazione delle norme in
materia fiscale, sindacale, previdenziale-assistenziale, di salute,
igiene e sicurezza sul lavoro.
LE FINALITA’ AMMINISTRATIVO-CONTABILI COME
PRESUPPOSTO DI VARIE IPOTESI DI
SEMPLIFICAZIONE
Di seguito è riportato un elenco di casi in cui il
perseguimento di finalità amministrativo-contabili è il
presupposto ipotesi di semplificazione diverse tra loro:
A. inapplicabilità del Codice della privacy ai dati delle persone
giuridiche (art. 5-bis);
B. Esclusione dell’obbligo di richiedere il consenso all’interessato
nello specifico caso di “comunicazione” (non di “diffusione”) di dati
(di qualsiasi interessato) tra società, enti o associazioni con
società controllanti, controllate o collegate ai sensi dell'articolo
2359 c.c. ovvero con società sottoposte a comune controllo,
nonché tra consorzi, reti di imprese e raggruppamenti e A.T.I. con i
soggetti ad essi aderenti debitamente informati di tali finalità con
l'informativa di cui all'articolo 13 [art. 24, comma 1, lettera i-ter)];
LE FINALITA’ AMMINISTRATIVO-CONTABILI COME
PRESUPPOSTO DI VARIE IPOTESI DI
SEMPLIFICAZIONE
C. Autocertificazione in luogo del DPS e semplificazione
delle modalità applicative del Disciplinare Tecnico sulle
misure minime di sicurezza – Allegato B al Codice della
privacy [art. 34, comma 1-bis)];
D. Applicazione delle misure pratiche di semplificazione
contenute nel Provvedimento del Garante privacy del 19
Giugno 2008.
COSA NON SONO LE FINALITA’ AMMINISTRATIVOCONTABILI
Al di fuori dei casi di trattamento per finalità
amministrativo-contabili,
vengono
meno
le
semplificazioni e – per le persone giuridiche – la totale
inapplicabilità del Codice della privacy.
Ciò può accadere :
A. nel trattamento di dati personali a fini di invio di
materiale pubblicitario o di vendita diretta o per il
compimento di ricerche di mercato o di comunicazione
commerciale (Marketing);
COSA NON SONO LE FINALITA’ AMMINISTRATIVOCONTABILI
B. nel trattamento dei dati personali per finalità
organizzative esterne (es: trasferimento dei dati
all’estero in Paesi extra-UE);
C. nel trattamento di dati personali per le valutazioni
preventive di affidabilità di aziende clienti o fornitrici
SEMPLIFICAZIONI IN MATERIA DI DPS
L’Autocertificazione
L’art. 34, comma 1-bis – che era stato già modificato del d.l.
112/2008 (che aveva inopinatamente limitato la semplificazione in
materia di DPS al solo caso di esclusivo trattamento dei dati
sanitari e sindacali di dipendenti e collaboratori – escludendo tutti
gli altri dati sensibili e i dati giudiziari – prevede ora che:
Per i soggetti che trattano soltanto dati personali non sensibili e
che trattano come unici dati sensibili e giudiziari quelli relativi ai
propri dipendenti e collaboratori, anche se extracomunitari,
compresi quelli relativi al coniuge e ai parenti, la tenuta di un
aggiornato documento programmatico sulla sicurezza è sostituita
dall'obbligo di autocertificazione, resa dal titolare del trattamento
ai sensi dell'articolo 47 del d.p.r. 445/2000, di trattare soltanto tali
dati in osservanza delle misure minime di sicurezza previste dal
codice e dal disciplinare tecnico contenuto nell'allegato B).
SEMPLIFICAZIONI IN MATERIA DI DPS
I rischi connessi all’autocertificazione
L’autocertificazione sostitutiva deve essere sottoscritta
dal titolare del trattamento (nel caso di società, dal
rappresentante legale) e conservata presso la sede per
essere esibita in caso di controlli, unitamente a
fotocopia non autenticata di un documento di identità
del sottoscrittore.
Il beneficio dell’autocertificazione tuttavia:
SEMPLIFICAZIONI IN MATERIA DI DPS
I rischi connessi all’autocertificazione
A. non esonera dall’adempimento degli altri obblighi in
materia di sicurezza richiesti dal Codice (artt. 33 e
seguenti) e dal disciplinare tecnico (Allegato B del
Codice), per cui in caso di inosservanza delle restanti
misure minime il titolare del trattamento sarà comunque
tenuto a risponderne sul piano penale e amministrativo;
SEMPLIFICAZIONI IN MATERIA DI DPS
I rischi connessi all’autocertificazione
B. le imprese che intendano sostituire la tenuta del
D.P.S. aggiornato con il beneficio dell’autocertificazione
devono tener conto del concreto contesto di operatività
aziendale, indagando circa la possibilità di svolgere
attività di trattamento di dati personali sensibili diversi
da quelli indicati all’art. 34, comma 1-bis del Codice
(dati sensibili e giudiziari di dipendenti, collaboratori,
coniuge o parenti degli stessi) e, quindi, rilevante ai fini
dell’obbligo del D.P.S., al fine di non incorrere nelle
conseguenze penali cui possono andare incontro i
dichiaranti in caso di dichiarazioni mendaci (art. 483
c.p.).
SEMPLIFICAZIONI IN MATERIA DI DPS
I rischi connessi all’autocertificazione
C.
l’autocertificazione
deve
essere
comunque
aggiornata in caso contenga dati non più rispondenti a
verità «l’esibizione della autocertificazione contenente
dati non più rispondenti a verità equivale ad uso di atto
falso» (art. 76, comma 2, D.P.R. 28 dicembre 2000, n.
445).
D. infine, qualora intervengano variazioni in ordine alla
tipologia dei dati utilizzati dal titolare, tali da far venir
meno i presupposti dell’autocertificazione, il titolare è
tenuto a predisporre il D.P.S. per non incorrere in
sanzioni penali.
SEMPLIFICAZIONI NEI RAPPORTI CON I DIPENDENTI
l’art. 13, comma 5-bis del Codice della privacy prevede che
l’informativa non è più necessaria in caso di ricezione di curricula
spontaneamente trasmessi dagli interessati ai fini dell’eventuale
instaurazione di un rapporto di lavoro.
Si è voluto tener conto del fatto che chi invia il curriculum per
trovare lavoro certamente è disponibile all’utilizzo dei dati in esso
contenuti da parte dell’impresa a cui si indirizza. L’informativa
dovrà essere fornita al candidato al momento del primo contatto
successivo all’invio del curriculum. In questo caso il titolare può
fornire all’interessato, anche oralmente, un’informativa breve che,
in questo specifico caso, deve contenere:
• le finalità e le modalità del trattamento;
• i soggetti o le categorie di soggetti ai quali i dati possono
essere comunicati;
• gli estremi del titolare e del responsabile.
SEMPLIFICAZIONI NEI RAPPORTI CON I DIPENDENTI
(Consenso)
L’art. 24 del Codice già stabiliva in proposito alcuni casi in cui il
consenso dell’interessato non è necessario.
Il decreto sviluppo è intervenuto ampliando dette cause di
esclusione, ora il consenso non è più necessario anche:
A. nelle comunicazioni di dati infra-gruppo tra società, enti o
associazioni con società controllanti, controllate o collegate
ovvero con società sottoposte a comune controllo, nonché tra
consorzi, reti di imprese e raggruppamenti e associazioni
temporanee di - imprese con i soggetti ad essi aderenti per
finalità amministrativo-contabili;
B. nei trattamenti dei dati dei curricula ricevuti spontaneamente
trasmessi dagli interessati ai fini dell’eventuale instaurazione di
un rapporto di lavoro. L’esonero dal consenso riguarda dati
comuni [art. 24, comma 1, lett. i-bis)] e sensibili eventualmente
contenuti nei curricula stessi [art. 26, comma 3, lett. B-bis)].
SEMPLIFICAZIONE VS. COMPLICAZIONE
Una tendenza in atto è quella del susseguirsi di tentativi
di semplificazione normativa del Legislatore alla
disciplina sul trattamento dei dati personali a cui
corrisponde una proliferazione dei Provvedimenti
Generali del Garante in vari settori dalla cui lettura
emergono prescrizioni e adempimenti che appaiono
addirittura ulteriori rispetto agli stessi vincoli contenuti
nelle norme.
SEMPLIFICAZIONE VS. COMPLICAZIONE
Esempi: la nomina del Responsabile del trattamento
Da sempre – anche sotto il vigore della legge 675/96 – la
nomina di uno o più responsabili del trattamento è non
obbligatoria ma facoltativa.
Eppure, la lettura di più di un Provvedimento Generale
del Garante sembra far emergere un obbligo specifico
di detta nomina, come ad esempio nel recente
Provvedimento generale intitolato “Titolarità del
trattamento di dati personali in capo ai soggetti che si
avvalgono di agenti per attività promozionali” del 15
giugno 2011:
SEMPLIFICAZIONE VS. COMPLICAZIONE
Esempi: la nomina del Responsabile del trattamento
“Il Garante dispone che tutti i preponenti, che sono
titolari del trattamento in quanto, ai sensi di cui in
motivazione, svolgono le attività proprie di tale qualifica,
procedano, entro 60 giorni dalla pubblicazione del
presente provvedimento sulla Gazzetta Ufficiale, a
designare le società ovvero i soggetti terzi che agiscono
in outsourcing, responsabili del trattamento ai sensi e
per gli effetti degli artt. 4, comma 1, lett. g) e 29, commi
4 e 5 del Codice”.
(sanzione da 30 a 180mila Euro)
SEMPLIFICAZIONE VS. COMPLICAZIONE
Esempi: gli ulteriori elementi obbligatori dell’informativa
ex art. 13 del Codice della privacy
Oltre agli elementi obbligatori contenuti nell’art. 13 del
Codice della privacy, si potrebbe incorrere nella sanzione
di inidonea informativa (da 6 a 36mila Euro) anche nel
caso di mancanza di taluni elementi informativi ulteriori
previsti da vari provvedimenti del Garante, come:
A. il provvedimento su email e Internet del 1° marzo 2007;
B. il provvedimento sulla Videosorveglianza dell’8 aprile
2010;
C. il provvedimento sugli amministratori di sistema.
IL MARKETING DELLE AZIENDE
Il sistema opt-out per il marketing telefonico e postale
La versione da ultimo vigente dell’art. 130, comma 3-bis
del Codice della privacy prevede che:
In deroga a quanto previsto dall'articolo 129, il trattamento
dei dati di cui all'articolo 129, comma 1, mediante
l'impiego del telefono e della posta cartacea per le finalità
di cui all'articolo 7, comma 4, lettera b), è consentito nei
confronti di chi non abbia esercitato il diritto di
opposizione, con modalità semplificate e anche in via
telematica, mediante l'iscrizione della numerazione della
quale è intestatario e degli altri dati personali di cui
all'articolo 129, comma 1 in un registro pubblico delle
opposizioni.
IL MARKETING DELLE AZIENDE
Il Registro delle opposizioni
In base al d.p.r. 178/2010, a partire dal 1 Febbario 2011 gli
abbonati agli elenchi telefonici pubblici che non vogliono
più ricevere chiamate dagli operatori per attività
commerciali, promozionali o per il compimento di ricerche
di mercato tramite l’uso del telefono o della posta
cartacea, possono “opporsi” alle telefonate indesiderate
iscrivendosi al Registro Pubblico delle Opposizioni.
Rispetto al precedente impianto normativo basato sull’optin – che non ammetteva il contatto telefonico o postale nei
confronti di quanti non avessero preventivamente fornito il
proprio consenso – il legislatore ha privilegiato il sistema
dell’opt-out.
IL MARKETING DELLE AZIENDE
Il Registro delle opposizioni
Ciascun abbonato – sia persona fisica sia persona
giuridica, ente o associazione – il cui numero telefonico
è presente negli elenchi telefonici pubblici, può
richiedere al Gestore l’iscrizione gratuita nel Registro
Pubblico delle Opposizioni.
È importante ricordare che il Registro Pubblico delle
Opposizioni mette l’abbonato al riparo dalle chiamate
indesiderate degli operatori che utilizzano come fonte
dei propri contatti gli elenchi telefonici pubblici.
IL MARKETING DELLE AZIENDE
Il Registro delle opposizioni
L’iscrizione di un abbonato nel Registro non esclude il
trattamento dei suoi dati per finalità di marketing da
parte dei singoli soggetti che abbiano raccolto i dati –
forniti consenzientemente dagli abbonati – da fonti
diverse dagli elenchi telefonici pubblici (per
esempio tessere di fidelizzazione, tessere per raccolta
punti, promozioni, eccetera), purché ciò sia avvenuto
nel rispetto della normativa vigente.
IL MARKETING DELLE AZIENDE
Cosa deve fare l'Operatore per effettuare marketing
telefonico o postale lecitamente.
L'Operatore è qualunque soggetto, persona fisica o
giuridica, che intende avviare, mediante l’impiego del
telefono con addetto persona fisica che effettua la
telefonata (è escluso dunque il fax marketing, che
rimane opt-in), attività a scopo commerciale,
promozionale o ricerche di mercato. L’entrata in vigore
del Registro Pubblico delle Opposizioni obbliga
l’Operatore a registrarsi al sistema e a comunicare
la lista dei numeri che intende contattare, pena
incorrere nelle sanzioni previste dal Codice della
Privacy
IL MARKETING DELLE AZIENDE
Cosa deve fare l'Operatore per effettuare marketing
telefonico o postale lecitamente.
Gli operatori che intendono contattare gli abbonati
presenti negli elenchi telefonici pubblici per attività
commerciali, promozionali o per il compimento di ricerche
di mercato tramite l’uso del telefono o della posta
ordinaria, sono tenuti a registrarsi al sistema gestito dalla
Fondazione Ugo Bordoni - Gestore del servizio – e a
comunicare la lista dei numeri/indirizzi che intendono
contattare. Il Gestore mettendo a confronto le informazioni
contenute nel Registro delle Opposizioni e la lista dei
numeri/indirizzi fornita dall’Operatore, cancellerà da
quest’ultima tutti i numeri degli abbonati che hanno
richiesto di non essere contattati.
IL MARKETING DELLE AZIENDE
Cosa deve fare l'Operatore per effettuare marketing
telefonico o postale lecitamente.
La lista aggiornata dal Gestore - ovvero “filtrata” dai
numeri telefonici e dagli indirizzi degli abbonati che si
sono iscritti al Registro Pubblico delle Opposizioni sarà messa a disposizione dell’Operatore entro 24 ore
dalla richiesta e avrà validità di 15 giorni, per consentire
così il continuo aggiornamento dell'elenco delle
opposizioni.
Per registrarsi al sistema di aggiornamento delle liste
(presentazione dell'istanza) l'operatore deve aderire
alle condizioni generali di contratto. Le tariffe di
accesso al servizio sono regolate dal d.m. 22.12.2010.
IL MARKETING DELLE AZIENDE
Cosa deve fare l'Operatore per effettuare marketing
telefonico o postale lecitamente.
La procedura di cui sopra (presentazione dell'istanza
con modulo elettronico, invio e aggiornamento delle
liste, pagamento di un fondo volto a costituire il credito,
etc) si svolge totalmente on-line sull'Area Riservata
agli
Operatori
disponibile
sul
sito
www.registrodelleopposizioni.it
IL MARKETING DELLE AZIENDE
A quali utenze si applica la nuova disciplina.
Esclusivamente alle utenze inserite negli elenchi
telefonici pubblici per le quali il titolare abbia
effettuato l'iscrizione nel Registro Pubblico delle
Opposizioni.
Le utenze tratte da elenchi telefonici pubblici non
iscritte nel Registro delle Opposizioni possono
essere liberamente utilizzate senza dover richiedere il
consenso preventivo solo dopo che il Gestore del
Servizio abbia restituito le liste inviate dall'operatore
"depurate" dai numeri telefonici iscritti.
IL MARKETING DELLE AZIENDE
A quali ambiti non si applica la nuova disciplina.
La nuova disciplina non si applica:
• ai dati personali tratti da fonti diverse dagli elenchi
telefonici pubblici il trattamento commerciale/promozionale
dei
quali
resta
basato
sull'opt-in
(consenso
preventivo, specifico e informato, ad esempio acquisito
nell'ambito di contratti, ordini commerciali, form online, etc);
• alle comunicazioni per finalità commerciali, promozionali o
per il compimento di ricerche di mercato effettuate tramite
email (la normativa resta basata sull'opt-in e sul consenso
preventivo, specifico e informato preventivamente acquisito
secondo le norme del Codice della privacy);
IL MARKETING DELLE AZIENDE
A quali ambiti non si applica la nuova disciplina.
• alle comunicazioni per finalità commerciali,
promozionali o per il compimento di ricerche di
mercato effettuate tramite fax (la normativa resta
basata sull'opt-in e sul consenso preventivo, specifico
e informato preventivamente acquisito secondo le
norme del Codice della privacy);
IL MARKETING DELLE AZIENDE
A quali ambiti non si applica la nuova disciplina.
•
alle comunicazioni per finalità commerciali,
promozionali o per il compimento di ricerche di
mercato effettuate tramite sms o mms (la normativa
resta
basata
sull'opt-in
e
sul
consenso
preventivo, specifico e informato preventivamente
acquisito secondo le norme del Codice della privacy);
• alle comunicazioni per finalità commerciali,
promozionali o per il compimento di ricerche di
mercato effettuate tramite telefono senza intervento di
operatore, come ad esempio dischi automatici
o comunicazioni pre-registrate (la normativa resta
basata sull'opt-in).
IL MARKETING DELLE AZIENDE
Sanzioni
In caso di trattamento di dati personali effettuato in
violazione delle nuove norme (cioè in caso di contatto
telefonico o postale promozionale utilizzando recapiti
tratti da elenchi pubblici ma inseriti nel Registro delle
Opposizioni) è applicata in ogni caso la sanzione del
pagamento di una somma da diecimila euro a
centoventimila euro.
GRAZIE PER L’ATTENZIONE
Prof. Avv. Alessandro del Ninno
[email protected]
[email protected]