LE RECENTI SEMPLIFICAZIONI AL CODICE DELLA PRIVACY: ATTUAZIONE PRATICA IN AZIENDA Vicenza, 6 Ottobre 2011 Prof. Avv. . Alessandro del Ninno [email protected] CONSIDERAZIONI INTRODUTTIVE CONSIDERAZIONI INTRODUTTIVE Nei mesi scorsi la normativa italiana sul trattamento dei dati personali ha subito rilevanti modifiche e aggiornamenti. Si va dal recente Decreto Sviluppo (decreto legge 13 maggio 2011 n. 70 convertito, con modificazioni, dalla legge 12 luglio 2011, n. 106) – che ha introdotto alcune “semplificazioni” all’impianto del Codice della privacy - fino alla nuova disciplina sul trattamento dei dati personali per finalità di marketing effettuato tramite telefono o posta ordinaria (con le nuove norme – per l’uso del telefono – di modifica dell’art. 130 del Codice della privacy e di attivazione del Registro delle Opposizioni prevista dal d.p.r. 178/2010 e quelle sul marketing postale contenute nel citato Decreto Sviluppo). Inoltre, anche il Garante è intervenuto con l’adozione di alcuni Provvedimenti Generali di rilevante impatto organizzativo in azienda, come quello del 16.6.2011 sull’outsourcing delle attività di marketing (“Titolarità del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali”). SEMPLIFICAZIONI NEI RAPPORTI CON LE IMPRESE Art. 5 – comma 3-bis del Codice della privacy Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell'ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo contabili, come definite all'articolo 34, comma 1-ter, non è soggetto all'applicazione del presente codice. CHE COSA SIGNIFICA IN PRATICA? SEMPLIFICAZIONI NEI RAPPORTI CON LE IMPRESE Intanto occorre delimitare con precisione il campo applicativo della semplificazione. L’intera disciplina sul trattamento dei dati personali (informative, consenso, misure di sicurezza, notificazione dei trattamenti, etc) è inapplicabile: A. ai dati delle persone giuridiche in quanto autonomamente considerati [più chiaramente, l’interessato - così come definito dall’art. 4, comma 1, lettara (i) del Codice della privacy è in questi casi “la persona giuridica, l’ente o l’associazione cui si riferiscono i dati personali”] SEMPLIFICAZIONI NEI RAPPORTI CON LE IMPRESE B. ai dati delle persone giuridiche che siano oggetto di trattamento in forza di un già esistente rapporto “intercorrente esclusivamente tra le aziende interessate” (casi di esclusione: ricerca potenziali fornitori, comunicazione di dati di un impresa ad altre imprese da parte di un’azienda, etc); C. ai dati delle persone giuridiche che siano oggetto di trattamento per finalità amministrativo - contabili, come definite all'articolo 34, comma 1-ter. DEFINIZIONE DI FINALITA’ AMMINISTRATIVOCONTABILI Già il Garante aveva provato a dare una definizione di “finalità amministrativo-contabili”, allora normativamente assente, chiarendo nel Provvedimento del 19.6.2008 (“Semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrative e contabili”) che: “Diverse realtà, specie imprenditoriali di piccole e medie dimensioni, trattano dati, anche in relazione a obblighi contrattuali, precontrattuali o di legge, esclusivamente per finalità di ordine amministrativo e contabile (gestione di ordinativi, buste paga e di ordinaria corrispondenza con clienti, fornitori, realtà esterne di supporto anche in outsourcing, dipendenti)”. DEFINIZIONE DI FINALITA’ AMMINISTRATIVOCONTABILI Ancora il Garante, aveva chiarito casi tipici di trattamenti dei dati personali per finalità amministrativocontabili: “trattamenti con strumenti elettronici finalizzati alla gestione dell'autoparco aziendale, alle procedure di acquisto dei materiali di consumo, alla manutenzione degli immobili sociali” (F.A.Q. 24 del Provvedimento 27.11.2008 in tema di amministratori di sistema). DEFINIZIONE DI FINALITA’ AMMINISTRATIVOCONTABILI Ora è invece l’art. 34, comma 1-ter del Codice della privacy a fornire una definizione normativa (che era sistematicamente meglio inserire all’art. 4): Ai fini dell'applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo - contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all'adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all'applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro. LE FINALITA’ AMMINISTRATIVO-CONTABILI COME PRESUPPOSTO DI VARIE IPOTESI DI SEMPLIFICAZIONE Di seguito è riportato un elenco di casi in cui il perseguimento di finalità amministrativo-contabili è il presupposto ipotesi di semplificazione diverse tra loro: A. inapplicabilità del Codice della privacy ai dati delle persone giuridiche (art. 5-bis); B. Esclusione dell’obbligo di richiedere il consenso all’interessato nello specifico caso di “comunicazione” (non di “diffusione”) di dati (di qualsiasi interessato) tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell'articolo 2359 c.c. ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e A.T.I. con i soggetti ad essi aderenti debitamente informati di tali finalità con l'informativa di cui all'articolo 13 [art. 24, comma 1, lettera i-ter)]; LE FINALITA’ AMMINISTRATIVO-CONTABILI COME PRESUPPOSTO DI VARIE IPOTESI DI SEMPLIFICAZIONE C. Autocertificazione in luogo del DPS e semplificazione delle modalità applicative del Disciplinare Tecnico sulle misure minime di sicurezza – Allegato B al Codice della privacy [art. 34, comma 1-bis)]; D. Applicazione delle misure pratiche di semplificazione contenute nel Provvedimento del Garante privacy del 19 Giugno 2008. COSA NON SONO LE FINALITA’ AMMINISTRATIVOCONTABILI Al di fuori dei casi di trattamento per finalità amministrativo-contabili, vengono meno le semplificazioni e – per le persone giuridiche – la totale inapplicabilità del Codice della privacy. Ciò può accadere : A. nel trattamento di dati personali a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale (Marketing); COSA NON SONO LE FINALITA’ AMMINISTRATIVOCONTABILI B. nel trattamento dei dati personali per finalità organizzative esterne (es: trasferimento dei dati all’estero in Paesi extra-UE); C. nel trattamento di dati personali per le valutazioni preventive di affidabilità di aziende clienti o fornitrici SEMPLIFICAZIONI IN MATERIA DI DPS L’Autocertificazione L’art. 34, comma 1-bis – che era stato già modificato del d.l. 112/2008 (che aveva inopinatamente limitato la semplificazione in materia di DPS al solo caso di esclusivo trattamento dei dati sanitari e sindacali di dipendenti e collaboratori – escludendo tutti gli altri dati sensibili e i dati giudiziari – prevede ora che: Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del d.p.r. 445/2000, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal codice e dal disciplinare tecnico contenuto nell'allegato B). SEMPLIFICAZIONI IN MATERIA DI DPS I rischi connessi all’autocertificazione L’autocertificazione sostitutiva deve essere sottoscritta dal titolare del trattamento (nel caso di società, dal rappresentante legale) e conservata presso la sede per essere esibita in caso di controlli, unitamente a fotocopia non autenticata di un documento di identità del sottoscrittore. Il beneficio dell’autocertificazione tuttavia: SEMPLIFICAZIONI IN MATERIA DI DPS I rischi connessi all’autocertificazione A. non esonera dall’adempimento degli altri obblighi in materia di sicurezza richiesti dal Codice (artt. 33 e seguenti) e dal disciplinare tecnico (Allegato B del Codice), per cui in caso di inosservanza delle restanti misure minime il titolare del trattamento sarà comunque tenuto a risponderne sul piano penale e amministrativo; SEMPLIFICAZIONI IN MATERIA DI DPS I rischi connessi all’autocertificazione B. le imprese che intendano sostituire la tenuta del D.P.S. aggiornato con il beneficio dell’autocertificazione devono tener conto del concreto contesto di operatività aziendale, indagando circa la possibilità di svolgere attività di trattamento di dati personali sensibili diversi da quelli indicati all’art. 34, comma 1-bis del Codice (dati sensibili e giudiziari di dipendenti, collaboratori, coniuge o parenti degli stessi) e, quindi, rilevante ai fini dell’obbligo del D.P.S., al fine di non incorrere nelle conseguenze penali cui possono andare incontro i dichiaranti in caso di dichiarazioni mendaci (art. 483 c.p.). SEMPLIFICAZIONI IN MATERIA DI DPS I rischi connessi all’autocertificazione C. l’autocertificazione deve essere comunque aggiornata in caso contenga dati non più rispondenti a verità «l’esibizione della autocertificazione contenente dati non più rispondenti a verità equivale ad uso di atto falso» (art. 76, comma 2, D.P.R. 28 dicembre 2000, n. 445). D. infine, qualora intervengano variazioni in ordine alla tipologia dei dati utilizzati dal titolare, tali da far venir meno i presupposti dell’autocertificazione, il titolare è tenuto a predisporre il D.P.S. per non incorrere in sanzioni penali. SEMPLIFICAZIONI NEI RAPPORTI CON I DIPENDENTI l’art. 13, comma 5-bis del Codice della privacy prevede che l’informativa non è più necessaria in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro. Si è voluto tener conto del fatto che chi invia il curriculum per trovare lavoro certamente è disponibile all’utilizzo dei dati in esso contenuti da parte dell’impresa a cui si indirizza. L’informativa dovrà essere fornita al candidato al momento del primo contatto successivo all’invio del curriculum. In questo caso il titolare può fornire all’interessato, anche oralmente, un’informativa breve che, in questo specifico caso, deve contenere: • le finalità e le modalità del trattamento; • i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati; • gli estremi del titolare e del responsabile. SEMPLIFICAZIONI NEI RAPPORTI CON I DIPENDENTI (Consenso) L’art. 24 del Codice già stabiliva in proposito alcuni casi in cui il consenso dell’interessato non è necessario. Il decreto sviluppo è intervenuto ampliando dette cause di esclusione, ora il consenso non è più necessario anche: A. nelle comunicazioni di dati infra-gruppo tra società, enti o associazioni con società controllanti, controllate o collegate ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanee di - imprese con i soggetti ad essi aderenti per finalità amministrativo-contabili; B. nei trattamenti dei dati dei curricula ricevuti spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro. L’esonero dal consenso riguarda dati comuni [art. 24, comma 1, lett. i-bis)] e sensibili eventualmente contenuti nei curricula stessi [art. 26, comma 3, lett. B-bis)]. SEMPLIFICAZIONE VS. COMPLICAZIONE Una tendenza in atto è quella del susseguirsi di tentativi di semplificazione normativa del Legislatore alla disciplina sul trattamento dei dati personali a cui corrisponde una proliferazione dei Provvedimenti Generali del Garante in vari settori dalla cui lettura emergono prescrizioni e adempimenti che appaiono addirittura ulteriori rispetto agli stessi vincoli contenuti nelle norme. SEMPLIFICAZIONE VS. COMPLICAZIONE Esempi: la nomina del Responsabile del trattamento Da sempre – anche sotto il vigore della legge 675/96 – la nomina di uno o più responsabili del trattamento è non obbligatoria ma facoltativa. Eppure, la lettura di più di un Provvedimento Generale del Garante sembra far emergere un obbligo specifico di detta nomina, come ad esempio nel recente Provvedimento generale intitolato “Titolarità del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali” del 15 giugno 2011: SEMPLIFICAZIONE VS. COMPLICAZIONE Esempi: la nomina del Responsabile del trattamento “Il Garante dispone che tutti i preponenti, che sono titolari del trattamento in quanto, ai sensi di cui in motivazione, svolgono le attività proprie di tale qualifica, procedano, entro 60 giorni dalla pubblicazione del presente provvedimento sulla Gazzetta Ufficiale, a designare le società ovvero i soggetti terzi che agiscono in outsourcing, responsabili del trattamento ai sensi e per gli effetti degli artt. 4, comma 1, lett. g) e 29, commi 4 e 5 del Codice”. (sanzione da 30 a 180mila Euro) SEMPLIFICAZIONE VS. COMPLICAZIONE Esempi: gli ulteriori elementi obbligatori dell’informativa ex art. 13 del Codice della privacy Oltre agli elementi obbligatori contenuti nell’art. 13 del Codice della privacy, si potrebbe incorrere nella sanzione di inidonea informativa (da 6 a 36mila Euro) anche nel caso di mancanza di taluni elementi informativi ulteriori previsti da vari provvedimenti del Garante, come: A. il provvedimento su email e Internet del 1° marzo 2007; B. il provvedimento sulla Videosorveglianza dell’8 aprile 2010; C. il provvedimento sugli amministratori di sistema. IL MARKETING DELLE AZIENDE Il sistema opt-out per il marketing telefonico e postale La versione da ultimo vigente dell’art. 130, comma 3-bis del Codice della privacy prevede che: In deroga a quanto previsto dall'articolo 129, il trattamento dei dati di cui all'articolo 129, comma 1, mediante l'impiego del telefono e della posta cartacea per le finalità di cui all'articolo 7, comma 4, lettera b), è consentito nei confronti di chi non abbia esercitato il diritto di opposizione, con modalità semplificate e anche in via telematica, mediante l'iscrizione della numerazione della quale è intestatario e degli altri dati personali di cui all'articolo 129, comma 1 in un registro pubblico delle opposizioni. IL MARKETING DELLE AZIENDE Il Registro delle opposizioni In base al d.p.r. 178/2010, a partire dal 1 Febbario 2011 gli abbonati agli elenchi telefonici pubblici che non vogliono più ricevere chiamate dagli operatori per attività commerciali, promozionali o per il compimento di ricerche di mercato tramite l’uso del telefono o della posta cartacea, possono “opporsi” alle telefonate indesiderate iscrivendosi al Registro Pubblico delle Opposizioni. Rispetto al precedente impianto normativo basato sull’optin – che non ammetteva il contatto telefonico o postale nei confronti di quanti non avessero preventivamente fornito il proprio consenso – il legislatore ha privilegiato il sistema dell’opt-out. IL MARKETING DELLE AZIENDE Il Registro delle opposizioni Ciascun abbonato – sia persona fisica sia persona giuridica, ente o associazione – il cui numero telefonico è presente negli elenchi telefonici pubblici, può richiedere al Gestore l’iscrizione gratuita nel Registro Pubblico delle Opposizioni. È importante ricordare che il Registro Pubblico delle Opposizioni mette l’abbonato al riparo dalle chiamate indesiderate degli operatori che utilizzano come fonte dei propri contatti gli elenchi telefonici pubblici. IL MARKETING DELLE AZIENDE Il Registro delle opposizioni L’iscrizione di un abbonato nel Registro non esclude il trattamento dei suoi dati per finalità di marketing da parte dei singoli soggetti che abbiano raccolto i dati – forniti consenzientemente dagli abbonati – da fonti diverse dagli elenchi telefonici pubblici (per esempio tessere di fidelizzazione, tessere per raccolta punti, promozioni, eccetera), purché ciò sia avvenuto nel rispetto della normativa vigente. IL MARKETING DELLE AZIENDE Cosa deve fare l'Operatore per effettuare marketing telefonico o postale lecitamente. L'Operatore è qualunque soggetto, persona fisica o giuridica, che intende avviare, mediante l’impiego del telefono con addetto persona fisica che effettua la telefonata (è escluso dunque il fax marketing, che rimane opt-in), attività a scopo commerciale, promozionale o ricerche di mercato. L’entrata in vigore del Registro Pubblico delle Opposizioni obbliga l’Operatore a registrarsi al sistema e a comunicare la lista dei numeri che intende contattare, pena incorrere nelle sanzioni previste dal Codice della Privacy IL MARKETING DELLE AZIENDE Cosa deve fare l'Operatore per effettuare marketing telefonico o postale lecitamente. Gli operatori che intendono contattare gli abbonati presenti negli elenchi telefonici pubblici per attività commerciali, promozionali o per il compimento di ricerche di mercato tramite l’uso del telefono o della posta ordinaria, sono tenuti a registrarsi al sistema gestito dalla Fondazione Ugo Bordoni - Gestore del servizio – e a comunicare la lista dei numeri/indirizzi che intendono contattare. Il Gestore mettendo a confronto le informazioni contenute nel Registro delle Opposizioni e la lista dei numeri/indirizzi fornita dall’Operatore, cancellerà da quest’ultima tutti i numeri degli abbonati che hanno richiesto di non essere contattati. IL MARKETING DELLE AZIENDE Cosa deve fare l'Operatore per effettuare marketing telefonico o postale lecitamente. La lista aggiornata dal Gestore - ovvero “filtrata” dai numeri telefonici e dagli indirizzi degli abbonati che si sono iscritti al Registro Pubblico delle Opposizioni sarà messa a disposizione dell’Operatore entro 24 ore dalla richiesta e avrà validità di 15 giorni, per consentire così il continuo aggiornamento dell'elenco delle opposizioni. Per registrarsi al sistema di aggiornamento delle liste (presentazione dell'istanza) l'operatore deve aderire alle condizioni generali di contratto. Le tariffe di accesso al servizio sono regolate dal d.m. 22.12.2010. IL MARKETING DELLE AZIENDE Cosa deve fare l'Operatore per effettuare marketing telefonico o postale lecitamente. La procedura di cui sopra (presentazione dell'istanza con modulo elettronico, invio e aggiornamento delle liste, pagamento di un fondo volto a costituire il credito, etc) si svolge totalmente on-line sull'Area Riservata agli Operatori disponibile sul sito www.registrodelleopposizioni.it IL MARKETING DELLE AZIENDE A quali utenze si applica la nuova disciplina. Esclusivamente alle utenze inserite negli elenchi telefonici pubblici per le quali il titolare abbia effettuato l'iscrizione nel Registro Pubblico delle Opposizioni. Le utenze tratte da elenchi telefonici pubblici non iscritte nel Registro delle Opposizioni possono essere liberamente utilizzate senza dover richiedere il consenso preventivo solo dopo che il Gestore del Servizio abbia restituito le liste inviate dall'operatore "depurate" dai numeri telefonici iscritti. IL MARKETING DELLE AZIENDE A quali ambiti non si applica la nuova disciplina. La nuova disciplina non si applica: • ai dati personali tratti da fonti diverse dagli elenchi telefonici pubblici il trattamento commerciale/promozionale dei quali resta basato sull'opt-in (consenso preventivo, specifico e informato, ad esempio acquisito nell'ambito di contratti, ordini commerciali, form online, etc); • alle comunicazioni per finalità commerciali, promozionali o per il compimento di ricerche di mercato effettuate tramite email (la normativa resta basata sull'opt-in e sul consenso preventivo, specifico e informato preventivamente acquisito secondo le norme del Codice della privacy); IL MARKETING DELLE AZIENDE A quali ambiti non si applica la nuova disciplina. • alle comunicazioni per finalità commerciali, promozionali o per il compimento di ricerche di mercato effettuate tramite fax (la normativa resta basata sull'opt-in e sul consenso preventivo, specifico e informato preventivamente acquisito secondo le norme del Codice della privacy); IL MARKETING DELLE AZIENDE A quali ambiti non si applica la nuova disciplina. • alle comunicazioni per finalità commerciali, promozionali o per il compimento di ricerche di mercato effettuate tramite sms o mms (la normativa resta basata sull'opt-in e sul consenso preventivo, specifico e informato preventivamente acquisito secondo le norme del Codice della privacy); • alle comunicazioni per finalità commerciali, promozionali o per il compimento di ricerche di mercato effettuate tramite telefono senza intervento di operatore, come ad esempio dischi automatici o comunicazioni pre-registrate (la normativa resta basata sull'opt-in). IL MARKETING DELLE AZIENDE Sanzioni In caso di trattamento di dati personali effettuato in violazione delle nuove norme (cioè in caso di contatto telefonico o postale promozionale utilizzando recapiti tratti da elenchi pubblici ma inseriti nel Registro delle Opposizioni) è applicata in ogni caso la sanzione del pagamento di una somma da diecimila euro a centoventimila euro. GRAZIE PER L’ATTENZIONE Prof. Avv. Alessandro del Ninno [email protected] [email protected]