Privacy: le novità del Decreto Sviluppo

La legge 12 luglio 2011, n. 106 di conversione del D.L. n. 70/2011, recante “Semestre Europeo - Prime disposizioni urgenti per l'economia” apporta anche rilevanti modifiche alle disposizioni del Codice in materia di protezione dei dati personali riguardanti l’attività d’impresa e i rapporti tra operatori economici.

Le modifiche, in vigore già dal 14 maggio scorso, perseguono l’obiettivo di riallineare la disciplina italiana della privacy alla Direttiva comunitaria di riferimento (Direttiva 95/46/CE “relativa alla tutela delle persone fisiche con riguardo al trattamento di dati personali, nonché alla libera circolazione di tali dati”) e di ridurre così gli oneri burocratici imposti dal nostro legislatore, in particolare, sulle piccole e medie imprese.

 

Confindustria, con circolare del 18 luglio 2011, illustra le novità legislative in materia di privacy e l’impatto che esse sono destinate a produrre sulle attività delle imprese. Vediamone un estratto:

 

“[...]

L’art. 6, co. 2, lett. a), n. 5, del Decreto Sviluppo inserisce all’art. 34 del Codice privacy un comma 1-ter, che introduce nell’ordinamento un’espressa definizione dei “trattamenti effettuati per finalità amministrativo-contabili”, destinata ad incidere sull’applicazione di diverse norme privacy.

Il nuovo comma precisa che, ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, indipendentemente dalla natura - comune, sensibile o giudiziaria - dei dati trattati.

Si tratta di una definizione di carattere generale che, a prescindere dalla collocazione sistematica all’interno dell’articolo 34, relativo alle misure minime di sicurezza nei trattamenti con strumenti elettronici, è richiamata in diversi ambiti rilevanti per i titolari del trattamento al fine di ridurre gli adempimenti. La definizione mira, quindi, ad accrescere le certezze degli operatori, rendendo effettiva l’applicazione delle semplificazioni attualmente previste in materia di privacy. [...]

Rispetto a quanto già indicato in via esemplificativa nel Provvedimento del Garante 19 giugno 2008 (…), la modifica normativa chiarisce il significato della nozione di trattamento effettuato per fini amministrativo-contabili, ricollegandolo a tutte quelle attività organizzative, amministrative, finanziarie e contabili realizzate per adempiere a esigenze organizzative interne, a obblighi pre-contrattuali, contrattuali o di legge nella gestione dell’impresa.

 

Il secondo periodo del nuovo comma 1-ter precisa, poi, che, in particolare perseguono tali finalità, oltre alle citate attività organizzative interne e agli adempimenti di obblighi contrattuali e pre-contrattuali, quelle funzionali alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro. [...]

Al contrario, non si ritengono riconducibili a finalità di carattere amministrativo-contabile i trattamenti effettuati, ad esempio, per attività giornalistica, per scopi di comunicazione o promozione commerciale (invio di materiale pubblicitario o comunicazioni pubblicitarie, vendita diretta, compimento di sondaggi o ricerche di mercato, utilizzo di web-cam in luoghi pubblici), di selezione del personale per conto terzi, di analisi delle abitudini o delle scelte di consumo di terzi (salvo non vi sia uno specifico accordo con l’interessato), di valutazione o monitoraggio circa la solvibilità economica, la situazione patrimoniale o il corretto adempimento di obbligazioni da parte di soggetti terzi rispetto alle proprie controparti commerciali.

 

Tuttavia, con riferimento alle attività promozionali e pubblicitarie, occorre distinguere il marketing diretto di cui all’art. 130 del Codice privacy, relativo alle cd. comunicazioni indesiderate, consistente nell’invio non sollecitato di comunicazioni o materiali pubblicitari, da quello contrattuale, che invece consiste nella promozione di beni o servizi previamente concordata tra l’impresa e i propri clienti. Mentre la prima tipologia di marketing è esclusa dalla nozione di attività svolte per fini amministrativo-contabili, si ritiene invece che la seconda possa rientrarvi, in quanto posta in essere espressamente in esecuzione di un contratto e previo consenso informato dell’interessato. [...]

 

L’art. 6, co. 2, lett. a), n. 1, del Decreto Sviluppo aggiunge un nuovo comma 3-bis alll’art. 5 del Codice privacy, escludendo dal suo ambito di applicazione i trattamenti dei dati relativi a persone giuridiche, imprese, enti o associazioni effettuati esclusivamente tra i medesimi soggetti (B2B), per finalità amministrativo-contabili.

La ratio della norma è di eliminare gli oneri burocratici derivanti dai trattamenti che non presentano rischi specifici, in quanto relativi a ordinari rapporti di natura economica tra imprese, e rispetto ai quali non sussistono esigenze di tutela delle informazioni trattate.

In particolare, la deroga all’applicazione del Codice opera in presenza delle seguenti condizioni:

1. il trattamento deve essere effettuato esclusivamente nell’ambito di rapporti intercorrenti tra persone giuridiche, imprese, enti o associazioni. [...]

2. i dati oggetto di trattamento devono essere relativi alla persona giuridica, impresa, ente o associazione. [...]

3. il trattamento deve essere effettuato per finalità amministrativo-contabili [...]

 

Di conseguenza, le norme privacy continuano ad applicarsi nei casi in cui:

- il titolare del trattamento o l’interessato è una persona fisica. [...]

- il trattamento, pur se effettuato nell’ambito di rapporti B2B, persegue finalità diverse da quelle amministrativo-contabili, come nel caso di trattamenti che possono presentare particolari rischi (es. marketing diretto, sondaggi e ricerche di mercato). [...]

 

La deroga all’applicazione del Codice non ha, dunque, una portata trasversale rispetto a qualsiasi attività o trattamento di dati realizzati dalle imprese, ma è destinata a produrre effetti esclusivamente sugli ordinari rapporti commerciali tra imprese (es. rapporti tra committenti e appaltatori, appaltatori e subcontraenti, clienti e fornitori). Nell’ambito di questi rapporti non sono più necessari i seguenti adempimenti: i) obblighi di informativa e consenso di cui agli artt. 13, 23 e ss. del Codice; ii) eventuali nomine dei responsabili del trattamento ex art. 29, Codice; iii) adozione delle misure di sicurezza di cui agli artt. 33 e ss. del Codice e al disciplinare tecnico contenuto nell’Allegato B) al Codice (si tratta, tra l’altro, dei sistemi di autenticazione informatica, dei sistemi di autorizzazione, delle procedure di backup e di recovery dei dati e dei sistemi, dei programmi antivirus e firewall). [...]

 

L’art. 6, co. 2, lett. a), n. 3, del Decreto Sviluppo inserisce nell’art. 24 del Codice privacy una nuova ipotesi di esonero dal consenso (nuova lett. i-ter) per le comunicazioni di dati personali non sensibili, effettuate per finalità amministrativo-contabili, tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell’art. 2359 c.c., o sottoposte a comune controllo, nonché tra consorzi (artt. 2602 e ss. c.c.), reti di imprese (art. 3, co. 4-ter ss., legge n. 33/2009 e successive modificazioni), raggruppamenti e associazioni temporanei di imprese (previsti dal Codice dei contratti pubblici) con i loro aderenti, in linea con quanto prevedeva già la legge n. 675 del 1996 (art. 20. co. 1, lett. h).

Per esigenze di coordinamento, la medesima disposizione del Decreto Sviluppo modifica l’art. 24, lett. g) del Codice, che delega il Garante privacy a individuare con proprio provvedimento casi di esonero dal consenso in attuazione del principio del bilanciamento di interessi, eliminando da questa norma il riferimento “alle attività di gruppi bancari e di società controllate o collegate”. Infatti, tale delega ad oggi non era stata ancora esercitata dal Garante con riguardo ai gruppi.

La nuova disposizione mira così a semplificare gli adempimenti connessi alla circolazione delle informazioni non sensibili nell’ambito di gruppi di imprese o di altre forme di organizzazione congiunta dell’attività d’impresa previste dall’ordinamento per esigenze organizzative o gestionali interne, escludendo che in tali casi sia necessario il consenso dei soggetti ai quali si riferiscono i dati scambiati. [...]

 

Per beneficiare dell’esonero dal consenso, titolare del trattamento e destinatario della comunicazione devono essere necessariamente società, imprese, enti o associazioni, mentre l’interessato può essere sia una persona fisica che una persona giuridica (impresa, ente o associazione), purchè diversa dai soggetti tra cui avviene la comunicazione. Infatti, la nuova lett. i-ter) dell’art. 24 ha un ambito operativo autonomo rispetto all’esclusione dall’ambito di applicazione del Codice di cui all’art. 5, co. 3-bis. [...]

 

L’art. 6, co. 2, lett. a), n. 5, del Decreto Sviluppo sostituisce il co. 1-bis, art. 34, del Codice privacy (introdotto dall’art. 29 del D.L. n. 112/2008, convertito dalla legge n. 133/2008), che disciplina l’autocertificazione sostitutiva del Documento Programmatico sulla Sicurezza (DPS), ampliandone sostanzialmente la portata applicativa (…).

Infatti, il nuovo comma 1-bis estende in via generalizzata l’ambito oggettivo di applicazione dell’autocertificazione sostitutiva del DPS ai trattamenti con strumenti elettronici di qualsiasi tipologia di dati, comuni, sensibili e giudiziari, connessi alla gestione del rapporto di lavoro.

In particolare, possono avvalersi dell’autocertificazione i soggetti che, oltre a trattare dati personali non sensibili (i.e. comuni), trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche extracomunitari, nonché quelli relativi ai loro coniugi e parenti. [...]

 

Quanto alle forme e ai contenuti dell’ autocertificazione, essa deve essere resa una tantum dal titolare del trattamento ai sensi dell’art. 47 del Testo Unico in materia di documentazione amministrativa (di cui al D.P.R. n. 445 del 2000) e deve attestare che il titolare tratta dati personali comuni e soltanto i dati sensibili e giudiziari connessi alla gestione del rapporto di lavoro (v. supra), in osservanza delle misure minime di sicurezza previste dal Codice e dal disciplinare tecnico.

A differenza della previgente disposizione, che richiedeva genericamente l’osservanza delle “altre misure di sicurezza prescritte”, lasciando intendere che l’attestazione potesse riguardare l’adozione di tutte le idonee e preventive misure di sicurezza richiamate dall’art. 31 del Codice (obbligo generale di sicurezza), il nuovo co. 1-bis circoscrive il contenuto dell’autocertificazione alle sole misure minime di sicurezza tassativamente elencate all’art. 34, garantendo maggiori certezze alle imprese, specie di fronte al rischio di essere esposte a responsabilità penale per false dichiarazioni o uso di atto falso ex art. 76 del citato Testo Unico. [...]

 

Il Decreto Sviluppo interviene anche sulle disposizioni del Codice privacy che stabiliscono gli obblighi di preventiva informativa e consenso al trattamento, esonerando il titolare da tali adempimenti nel caso di gestione dicurricula vitae inviati spontaneamente dai soggetti che si candidano all’instaurazione di un rapporto di lavoro o di collaborazione professionale. [...]

 

Infatti, l’art. 6, co. 2, lett a), n. 2, del Decreto, mediante l’inserimento di un nuovo comma 5-bis nell’art. 13 del Codice, elimina l’obbligo di fornire un’informativa preliminare al soggetto che, senza rispondere ad annunci o ad avvisi, invia di propria iniziativa il CV per finalità occupazionali. [...]

Il nuovo comma 5-bis prevede poi che il titolare rilasci, anche oralmente, all’interessato un’informativa semplificata al momento del primo contatto successivo all’invio del curriculum, vale a dire quando emerga il suo effettivo interesse ad avviare una contatto con il candidato e a trattare i suoi dati personali. [...]

 

Per quanto riguarda l’obbligo dei soggetti privati di acquisire un consenso preventivo dall’interessato, l’art. 6, co. 2, lett. a), nn. 3 e 4, del Decreto Sviluppo modifica gli articoli 24 e 26 del Codice, introducendo due nuove ipotesi di esonero in relazione all’utilizzo dei dati, sia comuni che sensibili, contenuti nei curricula inviati spontaneamente. In particolare:

 

L’art. 6, co. 2, lett. a), n. 6, del Decreto Sviluppo modifica l’art. 130, co. 3-bis del Codice privacy (inserito dall’art. 20-bis della legge n. 166/2009, di conversione del D.L. n. 135/2009), che ha introdotto nel nostro ordinamento il cd. regime di opt-out per le chiamate telefoniche a fini commerciali - telemarketing - estendendolo anche alle attività promozionali effettuate mediante l’impiego della posta cartacea (…).

Questa modifica consente alle imprese di utilizzare gli indirizzi contenuti negli elenchi telefonici pubblici per effettuare, mediante posta cartacea, attività pubblicitarie o promozionali (invio di materiale pubblicitario, vendita diretta, compimento di ricerche di mercato e comunicazione commerciale, cfr. art. 7, co. 4, lett. b), a meno che il destinatario della comunicazione non abbia manifestato il proprio dissenso iscrivendosi al Registro pubblico delle opposizioni (…).”

 

 

Confindustria - Circolare del 18 luglio 2011 - Privacy: le novità del Decreto Sviluppo.

 

 

Fonte: Confindustria.

Questo articolo è pubblicato sotto una Licenza Creative Commons.