mercoledì 14 dicembre 2011

Business to business: si cambia. Le nuove regole sul trattamento dei dati personali per persone giuridiche, enti ed associazioni introdotte dal Decreto “Salva Italia”.

di Marco Maglio
Nel Decreto "Salva Italia" trova posto anche la privacy 
Non vorrei evocare a sproposito frasi storiche, ma leggendo il ben noto Decreto “Salva Italia e soffermandomi su un comma quasi nascosto, annegato tra le tante norme di cui hanno parlato giornali e organi di informazione, ho pensato: “beh questo è un piccolo comma per l'uomo, ma è una grande riforma per l'umanità”.
Mi rendo conto che è un'esagerazione ma quello che sto per raccontare è una bella liberazione, per lo meno per le aziende che in questi anni si sono trovate faticosamente a far convivere le attività business to business con le norme sulla privacy, quelle che - per intenderci – impediscono di contattare anche i soggetti economici in assenza di un consenso espresso basato su una adeguata informativa
Di cosa si tratta? Cerco di spiegarlo semplicemente pur se occorre fare riferimento a commi, Decreti e richiami normativi.
Il comma di cui vi parlo è inserito nell’art. 40 del D.L. 6 dicembre 2011 n. 201 (è il cosiddetto "Decreto Salva Italia"), contenente le Disposizioni urgenti per la crescita, l’equità e il consolidamento dei conti pubblici, ma segna una svolta nella disciplina della privacy nel nostro Paese.
Il comma 2 del citato art. 40 recita testualmente:
“Per la riduzione degli oneri in materia di privacy, sono apportate le seguenti modifiche al decreto legislativo 30 giugno 2003, n. 196:
a) all’articolo 4, comma 1, alla lettera b), le parole “persona giuridica, ente od associazione” sono soppresse e le parole “identificati o identificabili” sono sostituite dalle parole “identificata o identificabile”.
b) All’articolo 4, comma 1, alla lettera i), le parole “la persona giuridica, l’ente o l’associazione” sono soppresse.
c) Il comma 3-bis dell’articolo 5 è abrogato.
d) Al comma 4, dell’articolo 9, l’ultimo periodo è soppresso.
e) La lettera h) del comma 1 dell’articolo 43 è soppressa”.
Traducendo dal giuridichese stretto all'italiano comprensibile questo vuol dire una cosa molto semplice: d’ora in poi – se il decreto Monti sarà convertito in legge senza che siano apportate modifiche al comma 2 dell’art. 40 – la tutela della privacy riguarderà solamente le persone fisiche.
In pratica è stata completamente liberalizzato il trattamento dei dati delle società, degli enti e delle associazioni. I dati riferiti ad una spa, una srl o una associazione non sono più considerati dati personali e questi soggetti, tecnicamente non sono più qualificati come "interessati".
Questo vuol dire che il business to business diventa terreno libero. Niente regole privacy. Quindi mani libere per l'uso delle liste di aziende (ma – attenzione - non di liberi professionisti o imprese individuali) anche per attività di marketing.
E' un cambiamento importante che allineerà la normativa italiana sulla tutela della privacy a quella di tutti gli altri paesi europei. L’Italia, infatti, era l’unico Stato dell’Unione Europea assieme all’Austria ad aver recepito la Direttiva comunitaria 95/46/CE estendendo la tutela dei dati personali, oltre che alle persone fisiche, anche alle persone giuridiche.
In pratica, d’ora in avanti si potranno trattare i dati di persone giuridiche, enti e associazioni, pubblici e privati, senza dover chiedere il loro consenso.
Si tratta di una semplificazione rilevante che alleggerisce sicuramente il “carico privacy” per le imprese, ma lascia intatti tutti gli adempimenti (informativa, consenso, ecc.) e le misure di sicurezza quando si trattano i dati personali delle persone fisiche, ivi compresa la tanto discussa redazione del Documento Programmatico sulla Sicurezza (DPS), obbligatoria per coloro che trattano dati sensibili o giudiziari di persone fisiche con l’ausilio di strumenti elettronici di qualunque tipo (v. punto 19 del Disciplinare Tecnico allegato B) al D. Lgs. n. 196/03).
Particolarmente significativa è l’abrogazione del comma 3-bis dell’art. 5 del D.Lgs. n. 196/03, che fu introdotto dall’art. 6, comma 2, lettera a), numero 1), del D.L. n. 70/2011 (il cd. “Decreto Sviluppo” del Governo Berlusconi), che aveva escluso dall’applicazione del Codice della privacy , il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni, ma solo quando effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo-contabili. Questo vuol dire che l'esonero relativo all'applicabilità della normativa privacy non riguarda più solo il trattamento dei dati a fini commerciali ma tutti i trattamenti, indipendentemente dalla finalità.
Altra interessante novità è che, una volta convertito il decreto “Salva Italia”, solo le persone fisiche potranno esercitare i diritti che sono loro riconosciuti dall’art. 7 del Codice della privacy, cioè conoscere quali dati siano trattati dal titolare del trattamento, ottenerne l’aggiornamento, la rettifica o l’integrazione o anche, in alcuni casi, la cancellazione e opporsi al loro trattamento. Una persona giuridica, ente o associazione non potrà più esercitare tali diritti, perchè i suoi dati non sono più soggetti all’applicazione del D.Lgs. n. 196/03 e, infatti, il decreto abroga l’ultimo periodo dell’art. 9, comma 4 del Codice, in cui si precisavano le modalità per identificare la persona fisica titolata a esercitare i diritti per conto della persona giuridica, ente o associazione.
Infine, per la soppressione della lettera h) del comma 1 dell’art. 43, i dati delle persone giuridiche, enti e associazioni saranno anche trasferibili all’estero liberamente.
Perciò, se da un lato le imprese non dovranno più preoccuparsi della normativa sulla tutela della privacy quando trattano dati di altre imprese, d’altro lato dovranno continuare ad applicare tutte le regole in materia di privacy quando trattano i dati dei propri dipendenti e collaboratori, e anche dei clienti e fornitori se questi ultimi sono persone fisiche.
Questo è quanto prevede il testo del Decreto Legge pubblicato in Gazzetta Ufficiale che è in vigore dal 7 dicembre 2011. Occorre però aspettare la conversione in legge del Decreto (prevista prima di Natale) prima di considerare definitiva la riforma.
Ancora un po' di pazienza, dunque, ma sembra proprio che, salvo clamorose ed improbabili inversioni di marcia, per il business to business si aprirà una stagione privacy free e orientata al diritto di stabilire libere relazioni con i prospect.   

martedì 4 ottobre 2011

Verso l'autodisciplina globale: il codice ICC per Pubblicità e Marketing.


L'autodisciplina nell'era del mercato globale
 
C'era un tempo, negli anni '60 o giù di lì, in cui l'autodisciplina rappresentava poco più di un sano esercizio accademico. Chi si assoggettava volontariamente a regole non imposte da obblighi di legge, lo faceva soprattutto per una non meglio precisata ”questione di immagine”, senza peraltro che questo producesse effetti concreti sulla condotta individuale. Insomma l'autodisciplina non era ritenuta determinante per creare effettive tutele nei confronti dei soggetti più deboli. Era pura forma.
Con un po' di sano cinismo se ne rendevano conto tutti. Ed è significativo quanto diceva, ad esempio, Indro Montanelli, a chi gli chiedeva cosa ne pensasse dell'autodisciplina per l'attività giornalistica: con sano cinismo osservava che era un po' come chiedere alle iene di mangiare con coltello e forchetta.
Ma i tempi evolvono e le cose cambiano. Oggi i codici di condotta sono indicati come un vero presupposto indispensabile da molti testi normativi, forse anche per l'ottima prova che hanno dato alcune esperienze di autodisciplina (in Italia, ad esempio, è benemerita l'attività seria, efficace e autorevole dell'Istituto dell'Autodisciplina Pubblicitaria) Ormai è un principio condiviso e recepito a livello normativo: i codici di condotta non hanno più la funzione di esporre la “lista dei buoni propositi”. Servono invece per limitare la necessità di esperire azioni giudiziarie o amministrative e per conseguire un elevato livello di protezione dei consumatori. Questo è quello che prevede ad esempio la Direttiva Comunitaria n. 2005/29 sulle prassi commerciali sleali: segno evidente che si è ormai passati da un diffuso scetticismo a un sempre più ampio apprezzamento di natura politico-istituzionale e sociale verso l'autodisciplina.


Le best practice della Camera di Commercio Internazionale
Per rendere davvero efficace questo processo in un mercato che non si ferma più ai confini nazionali, ma usa tecniche di marketing virali e destrutturate, è essenziale che le regole di buona condotta siano quanto più possibile globali e condivise in ambito internazionale. A questo ha provveduto, nel settore della comunicazione commerciale, la Camera di Commercio Internazionale (ICC) che il 15 settembre 2011 ha pubblicato la n uova edizione del Codice in materia di Pubblicità e Marketing. E' un testo destinato a diventare rapidamente un punto di riferimento per le best practice a livello mondiale in materia di comunicazione e sarà recepito nei vari codici nazionali esistenti o in fase di realizzazione.
Questa nuova edizione del Codice ICC riflette la prassi corrente e anticipa futuri sviluppi coprendo la maggior parte delle principali tematiche del marketing contemporaneo: privacy, comunicazioni rivolte ai minori, comunicazioni ambientali, sponsorizzazioni, promozioni, marketing diretto, uso dei media digitali interattivi e pubblicità comportamentale.
In particolare il codice si occupa per la prima volta di Online Behavioural AdvertisiIng (OBA), relative alla pubblicità su Internet “mirata” attraverso la raccolta di informazioni personali sulle preferenze dell’utente durante le sue navigazioni.
Per la prima volta, quindi, il Codice ICC individua le responsabilità degli operatori del web che identificano precisi target pubblicitari attraverso il comportamento on-line delle persone.


Un po' di storia
La Camera di Commercio Internazionale (ICC) ha una lunga esperienza in materia di autoregolamentazione nelle pratiche commerciali attraverso la codificazione di prassi che disciplinano gli aspetti tipici del marketing e della pubblicità. Nel 1937 fu realizzato il primo codice della pratica pubblicitaria riconosciuto a livello internazionale. Da allora nove versioni del codice si sono succedute per garantire l'aggiornamento delle best practice rispetto all'evoluzione della società e della tecnologia.


Le novità della nuova versione del Codice ICC
Gli aggiornamenti del 2011 riflette la prassi corrente e anticipa futuri sviluppi declinando i principi etici su cui da sempre il Codice ICC si basa: trasparenza, onestà, rispetto della dignità umana, decenza, protezione dell’infanzia, rispetto della privacy e dei dati personali.
In tema di Online Behavioural Advertising (OBA), il Codice ICC individua le responsabilità degli operatori del web che identificano precisi target pubblicitari elaborando i dati di navigazione degli utenti.
A questo riguardo il Codice indica questi requisiti per garantire la legittimità di questa forma di comunicazione commerciale:
  • trasparenza da parte degli operatori di pubblicità on-line,
  • possibilità di scelta da parte degli utenti se accettare o disabilitare la funzione,
  • diritto di accesso da parte degli utenti a tutte le informazioni raccolte,

Il nuovo Codice ICC è quindi uno strumento fondamentale per chi a vario titolo opera nel settore della pubblicità comportamentale (quindi non solo agli inserzionisti ma anche agli operatori di telefonia mobile, ai motori di ricerca, agli sviluppatori di applicazioni, agli aggregatori di informazioni, alle agenzie e ai creativi).
Per garantire l'effettiva diffusione del Codice e la sua comprensione da parte di tutti gli operatori del settore la ICC ha inoltre lanciato in contemporanea un sito web www.codescentre.com dedicato al nuovo Codice per renderlo accessibile a tutti e raccogliere informazioni ed esperienze nel mondo.


Ma l'autodisciplina salverà il mondo dal diluvio di norme?
Grazie a questo nuovo Codice, l'autodisciplina si avvia a diventare uno strumento sempre più raffinato ed efficace per permettere la tutela effettiva dei diritti dei consumatori nei mercati globali e senza frontiere. E' questo probabilmente sarà lo strumento più efficace per salvare il mondo dal diluvio di leggi, di diritti, di doveri giuridici che dagli anni '90 si sta abbattendo sul mondo della comunicazione commerciale per regolare il rapporto tra imprese e consumatori.
Ma sequesta è la prospettiva più verosimile, è sempre saggio rimanere con piedi per terra: proprio per questo i codici di autodisciplina dovrebbero sempre essere guardati con attenzione ma non con pregiudiziale favore. Dovrebbero quindi essere giudicati nella sostanza, oltre che nella forma, nelle loro finalità espresse ed in quelle inespresse, nella loro efficacia concreta, nella loro conformità ai valori che sorreggono la comunità, piuttosto che non nella difesa di interessi di categoria e corporativi. Quindi codici come questo vanno usati dagli operatori della comunicazione con consapevolezza ed onesta, senza finzioni. Insomma i codici di autodisciplina, se vogliono davvero essere una nuova frontiera nella gestione dei rapporti tra imprese e consumatori devono nascere come strumento di diffusione di un autentico senso di rispetto verso i consumatori all'interno delle varie categorie professionali che si occupano di marketing e pubblicità. E' finita l'epoca delle apparenze. I consumatori e le imprese hanno bisogno di concretezza.

venerdì 22 luglio 2011

La privacy semplificata per le imprese.

Cosa cambia in dettaglio. La riforma spiegata in sei punti.


Come cambia la privacy dopo l'approvazione della legge n. 106 del 12 luglio 2011. Ecco una guida ragionata in sei punti per capire quali sono gli effetti pratici della riforma.
I dettagli della Semplificazione  

1) La normativa privacy non si applica ai trattamenti di dati riferiti a persone giuridiche, imprese, enti o associazioni per finalità amministrative o contabili.
Si ridimensiona fortemente l’ambito di applicazione del Codice della privacy stabilendo che: “in corretta applicazione della normativa europea le comunicazioni relative alla riservatezza dei dati personali sono limitate alla tutela dei cittadini, conseguentemente non trovano applicazione nei rapporti tra imprese”.
In particolare si introducono importanti modifiche ad alcuni articoli del D.Lgs. n. 196/03. Vediamole brevemente nel dettaglio.
Per quanto riguarda l’ambito di applicazione del Codice, si prevede che il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo-contabili, non è soggetto all’applicazione del presente codice.” Quindi, la protezione della riservatezza dei dati personali è limitata agli individui (cioè alle persone fisiche) e non trova applicazione nei rapporti tra imprese; o meglio i dati delle persone giuridiche, imprese, enti e associazioni (quindi non solo, come ora previsto, i dati relativi alle attività economiche) possono essere trattati senza vincoli, purchè si tratti di trattamenti per le normali finalità amministrativo-contabili. La stessa normativa chiarisce che: “Ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro”.
Pertanto, in pratica, non saranno più necessarie informative e richieste di consenso se si trattano dati personali relativi a persone giuridiche, esclusivamente per finalità amministrativo-contabili, nel senso chiarito dalla nuova norma.


2) Le regole semplificate per gestire i curriculum spontenei
Un’altra importante novità riguarda la gestione dei curriculum nel caso di trasmissione spontanea da parte degli interessati. L’informativa non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro. Al momento del primo contatto successivo all’invio del curriculum, il titolare è tenuto a fornire all’interessato, anche oralmente, una informativa breve
Perciò, soltanto in un momento successivo a quello in cui ci sarà un primo contatto, il titolare del trattamento (per esempio l’azienda che convoca l’interessato), anche durante il colloquio con il candidato, sarà tenuto a fornire gli elementi dell’informativa previsti dall’art. 13: finalità e modalità del trattamento; soggetti che possono venire a conoscenza dei dati in quanto responsabili o incaricati del trattamento e ambito di diffusione dei dati; indicazione delle modalità per conoscere l’identità di tutti i responsabili del trattamento. In conseguenza di ciò è stata introdotta un’apposita esclusione dell’obbligo del consenso per il trattamento dei dati dei curricula ricevuti. 

3) L'esonero del consenso per la comunicazione dei dati personali all'interno di gruppi societari
Inoltre, il trattamento dei dati comuni non necessita più di consenso (fermo restando l’obbligo di rilasciare idonea informativa agli interessati) quando riguarda la comunicazione di dati tra società, enti o associazioni con società controllanti, controllate o collegate ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti, per le finalità amministrativo contabili e purché queste finalità siano previste espressamente con determinazione resa nota agli interessati mediante l’informativa.


4) L'esonero dell'obbligo di consenso per i dati sensibili contenuti nei curriculum
L’esonero dall’obbligo del consenso riguarda anche i dati sensibili contenuti nei curricula. Viene infatti stabilito che l'obbligo di consenso scritto per il trattamento dei dati sensibili non si applica al trattamento dei dati contenuti nei curriculum.


5) L'esonero dell'obbligo di redigere il DPS
La nuova normativa prevede l’esonero dall’obbligo di predisposizione del DPS (Documento Programmatico per la Sicurezza). Infatti, si è stabilito che per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dalle norme vigenti.
La stessa disposizione prevede, inoltre, che in relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrativo-contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l’innovazione, individua con proprio provvedimento, da aggiornare periodicamente, quali siano le misure di sicurezza da adottare.
A questo proposito va ricordato che il Garante, con il provvedimento generale 27 novembre 2008, aveva già introdotto alcune semplificazioni a favore di tratta dati personali non sensibili o tratta come unici dati sensibili dei dipendenti quelli riguardanti lo stato di salute o malattia (senza indicazione della diagnosi) o l’adesione a organizzazioni sindacali e a favore di piccole e medie imprese, liberi professionisti e artigiani che trattano dati solo per le correnti finalità amministrative e contabili. In base al provvedimento del Garante, i soggetti interessati, tra l’altro, possono impartire agli incaricati le istruzioni in materia di misure minime di sicurezza anche oralmente e devono aggiornare i programmi di sicurezza (antivirus) solo una volta l’anno, e fare il backup dei dati solo una volta al mese.

6) L'estensione del registro delle opposizioni per l'uso a fini di marketing degli indirizzi presenti nell'elenco telefonico
Un’ultima semplificazione riguarda il marketing basato sugli indirizzi postali. In sostanza, la normativa estende anche agli indirizzi postali il regime dell’opt-out di recente introdotto nel nostro ordinamento in materia di trattamento dei numeri telefonici degli abbonati per l’esercizio del marketing telefonico. Quindi anche per il direct mailing classico trova applicazione il registro delle opposizioni, per cui gli operatori di marketing diretto potranno utilizzare anche gli indirizzi degli abbonati contenuti nell’elenco telefonico per finalità promozionali senza bisogno di chiedere il consenso alla sola condizione che questi ultimi non abbiano richiesto l’iscrizione del proprio numero telefonico e del proprio indirizzo presso il registro delle opposizioni di recente istituito dalla Legge n. 166/09 e gestito dalla Fondazione Ugo Bordoni.
Chiaramente l'obbligo di consultare il registro delle opposizioni riguarda solo coloro che abbiano intenzione di usare indirizzi tratti dagli elenchi telefonici. Chi usa recapiti di fonte diversa non è tenuto a tale adempimento.
In particolare va segnalato che la norma forse più rilevante, quella relativa all'estensione del registro delle opposizioni al mailing cartaceo, per trovare applicazione richiede che venga emanato un regolamento che definisca come dovrà essere gestita l'attività di consultazione del registro. I problemi tecnici da affrontare non sono indifferenti (basti pensare al lavoro di normalizzazione che dovrà essere gestito per permettere il matching degli indirizzi da sottoporre a verifica da parte del Gestore del Registro).
Il registro delle opposizioni oggi è organizzato solo per contenere dei numeri di telefono e non è previsto l'abbinamento di tali numeri ad un anagrafica univoca. Chiaramente questa impostazione dovrà cambiare per permettere di gestire una nuova tipologia di dati evitando il verificarsi di problemi non indifferenti. Se il numero di telefono è un dato riferibile esclusivamente ad un abbonato senza possibilità di errori, altrettanto non può dirsi di un mero indirizzo, che è riferibile a più soggetti e che richiede quindi di essere abbinato ad un soggetto determinato per poter essere gestito correttamente.
Saranno necessari chiarimenti applicativi con un integrazione al DPR n. 178/2010 che regola l'uso del Registro delle Opposizioni. Nel frattempo chi vuole usare gli indirizzi presenti negli elenchi telefonici dovrà passare in ogni caso attraverso il filtro del Registro delle opposizioni e precauzionalmente desumere che chi si è opposto all'uso del suo numero di telefono non voglia che venga usato nemmeno il suo indirizzo a fini commerciali. Occorrerà quindi, fino a diversa indicazione, verificare preventivamente che il numero di telefono di coloro di cui si vuole usare l'indirizzo non sia presente nel registro delle opposizioni. Per il futuro si spera che le regole cambino perchè in caso contrario la riforma rischia di rivelarsi un clamoroso boomerang, con aggravio di costi ed adempimenti anche a carico di chi vuole inviare un mailing traendo gli indirizzi dagli elenchi telefonici.




venerdì 15 luglio 2011

Privacy: si cambia. Tra semplificazioni e prospettive di riforma

Le nuove norme dopo l'approvazione della Legge 12 luglio 2011 n. 106

di Marco Maglio (*)

(*) Avvocato in Milano - Presidente dell'Osservatorio Italiano Diritto del Marketing


Semplificare sembra semplice!
L'estate porta novità importanti per la normativa sul trattamento dei dati personali. Con l'approvazione della Legge 12 luglio 2011 n. 106 (che ha convertito il legge il cosiddetto “Decreto Sviluppo” - D.L. 13 maggio 2011 n. 70) sono state introdotte significative semplificazioni in materia di privacy per ridurre l'impatto degli adempimenti a carico delle imprese. 
 
In estrema sintesi le modifiche riguardano questi aspetti:
  • a) disapplicazione della normativa in materia di dati personali ai trattamenti relativi a dati di persone giuridiche per finalità amministrative e contabili
  • b) semplificazione delle regole relative al trattamento dei curriculum inviati spontaneamente alle aziende
  • c) semplificazione degli obblighi legati alla stesura del Documento Programmatico sulla sicurezza (DPS)
  • d) estensione del regime dell'opt out agli indirizzi estratti dagli elenchi telefonici per l'invio di messaggi postali
I dettagli delle modifiche sono spiegati nel prossimo post.
Per dare un giudizio sintetico su questa riforma si può partire da un semplice dato di fatto: in Italia i confini della privacy sono estremamente mobili e si modificano con sorprendente facilità, ora restringendo lo spazio di tutela offerto all'individuo, ora allargandolo oltre misura.

Un esempio eclatante di questa tendenza è offerto dall'evoluzione delle norme che in Italia regolano il trattamento dei dati personali per finalità commerciali. Per molti anni per poter inviare messaggi indirizzati ai consumatori era richiesto il consenso espresso dell'interessato. Nel corso del tempo questo principio chiaro che rappresenta la massima forma di tutela per l'interessato, rendendo illecite tutte le attività di trattamento delle quali non è stato preventivamente informato e che ha espressamente autorizzato, ha conosciuto diverse deroghe fino a giungere all'ultima clamorosa riforma relativa all'uso dei dati presenti nell'elenco telefonico (prima i numeri di telefono e ora, con questa riforma anche gli indirizzi postali) per effettuare telefonate commerciali, ricerche di mercato o per per promuovere l'invio di materiale pubblicitario. Tale riforma ha sostanzialmente sovvertito le regole consolidate rendendo legittimo l'uso di questi dati in assenza di esplicito dissenso da parte del cittadino. Si è passati quindi da un sistema basato sull'opt in ad un meccanismo fondato sulla logica dell'opt out. Quindi chi non vuole che i suoi dati di recapito presenti in elenco telefonico siano usati per contattarlo a fini pubblicitari o commerciali ha l'onere di iscriversi nel Registro delle Opposizioni (www.registrodelleopposizioni.it).

La nuova normativa ci porta ad esaminare quale sia il modo più efficiente attraverso il quale ognuno di noi può esprimere la sua volontà rispetto al trattamento dei suoi dati. La riforma introdotta in Italia attribuisce di fatto valore legale al silenzio, intendendo che la mancata opposizione rende possibile il trattamento dei dati per svolgere attività di comunicazione commerciale. Tutto questo avviene mentre in Europa il dibattito sul ruolo che sia giusto attribuire al silenzio è molto vivo. Anche per questo le posizioni critiche rispetto alla riforma adottata in Italia sono numerose ed autorevoli.

Per dare giusto peso a queste critiche appare quanto mai necessario riequilibrare, sotto il profilo strettamente normativo, le asimmetrie esistenti nel rapporto tra cittadini-utenti ed operatori commerciali. Le nuove norme contengono disposizioni che agiscono chiaramente in favore degli operatori commerciali, mettendoli in condizione di poter utilizzare ogni dato del cittadino che risulti presente negli elenchi telefonici, mentre fa obbligo all'utente che intenda sottrarsi alle comunicazioni di marketing diretto di attivarsi iscrivendosi al registro delle opposizioni.
Peraltro la riforma approvata a luglio non sarà certamente l'ultima della serie. Anzi ci sono le premesse perché il tema sia quanto prima ancora oggetto di interventi normativi. Tanto più che entro la fine del 2011 è prevista la riforma profonda della direttiva comunitaria in materia di data protection. Sicuramente quindi il legislatore italiano dovrà tornare ad occuparsi di questi argomenti.

La riforma europea in discussione ha l'obiettivo di creare un quadro giuridico coerente e tendenzialmente uniforme tra i vari Stati Membri, tenendo conto delle dimensioni internazionali assunte dal fenomeno della circolazione dei dati e delle nuove forme di trattamento cui gli stessi possono essere sottoposti.
La linea che si sta seguendo in Europa è quella di mantenere i principi previsti dalla Direttiva del 1995, rendendoli però più dinamici e adeguati alle nuove tecnologie. In particolare chi tratta dati personali dovrà gestire questa attività come un processo da organizzare in base al principio di precauzione, per prevenire utilizzi abusivi delle informazioni trattate. I titolari del trattamento dovranno assumersi l’onere di documentare in una procedura interna tutto ciò che è necessario fare per rispettare i principi normativi per essere in grado di dimostrare di aver fatto quanto necessario per gestire in modo adeguato questa materia. La privacy futura sarà sempre di più basata su regole organizzative finalizzate a prevenire usi impropri dei dati. In questo contesto è probabile che troveranno sempre meno spazio operativo norme basate su consensi presunti e su registri pubblici delle opposizioni.

La privacy, al di là della riforma introdotta in Italia con il registro delle opposizioni, quindi è destinata ancora una volta a cambiare aspetto, accompagnando la dinamica sociale e l'evoluzione del costume. E le imprese non potranno certo fare affidamento sulle semplificazioni approvate a luglio 2011 per ridurre l'attenzione su questo tema che ogni giorno di più dimostra invece di essere sempre più essenziale per gestire in modo efficace ed equilibrato il rapporto tra aziende e consumatori.

mercoledì 18 maggio 2011

Decreto sviluppo e privacy: quali novità per le imprese

Registro delle opposizioni anche per i messaggi postali
La notizia era stata diffusa nelle scorse settimane già come un dato di fatto acquisito e come un testo di legge vigente. In realtà solo venerdì scorso è stato pubblicato in Gazzetta Ufficiale il Decreto Legge 13 maggio 2011 n. 70 meglio noto come Decreto Sviluppo.
Si tratta di un testo complesso che contiene una serie di misure urgenti per l’economia tra le quali spiccano alcune importanti novità per quanto riguarda l’applicazione della legge sulla privacy per le imprese.
In particolare l'articolo 6 dedicato alle “Ulteriori riduzioni e semplificazioni degli adempimenti burocratici”, nei suoi primi due commi contiene le modifiche relative all'applicazione delle norme in materia di trattamento dei dati personali da parte delle imprese.
In estrema sintesi le modifiche riguardano questi aspetti:
  • a) disapplicazione della normativa in materia di dati personali ai trattamenti relativi a dati di persone giuridiche per finalità amministrative e contabili
  • b) semplificazione delle regole relative al trattamento dei curriculum inviati spontaneamente alle aziende
  • c) semplificazione degli obblighi legati alla stesura del Documento Programmatico sulla sicurezza (DPS)
  • d) estensione del regime dell'opt out agli indirizzi estratti dagli elenchi telefonici per l'invio di messaggi postali
Vediamo i dettagli.

1) La normativa privacy non si applica ai trattamenti di dati riferiti a persone giuridiche, imprese, enti o associazioni per finalità amministrative o contabili.
Il comma 1, lettera a) dell’art. 6 ridimensiona fortemente l’ambito di applicazione del Codice della privacy stabilendo che: “in corretta applicazione della normativa europea le comunicazioni relative alla riservatezza dei dati personali sono limitate alla tutela dei cittadini, conseguentemente non trovano applicazione nei rapporti tra imprese”.
Il comma 2, dell’art. 6 del decreto, invece, introduce importanti modifiche ad alcuni articoli del D.Lgs. n. 196/03. Vediamole brevemente nel dettaglio.
Per quanto riguarda l’ambito di applicazione del Codice, il nuovo comma 3-bis aggiunto all’art. 5 prevede che: “Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo-contabili, come definite all’articolo 34, comma 1-ter, non è soggetto all’applicazione del presente codice.” Quindi, la protezione della riservatezza dei dati personali è limitata ai cittadini (cioè alle persone fisiche) e non trova applicazione nei rapporti tra imprese; o meglio i dati delle persone giuridiche, imprese, enti e associazioni (quindi non solo, come ora previsto, i dati relativi alle attività economiche) possono essere trattati senza vincoli, purchè si tratti di trattamenti per le normali finalità amministrativo-contabili. Lo stesso decreto, modificando il comma 1-bis dell’art. 34 sulle misure di sicurezza per i trattamenti dei dati con strumenti informatici (già modificato dalle semplificazioni introdotte con il D.L. n. 112/2008, convertito nella legge n. 133/08), chiarisce che: “Ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro”.
Pertanto, in pratica, non saranno più necessarie informative e richieste di consenso se si trattano dati personali relativi a persone giuridiche, esclusivamente per finalità amministrativo-contabili, nel senso chiarito dalla nuova norma.

2) Le regole semplificate per gestire i curriculum spontenei
Un’altra importante novità riguarda la gestione dei curriculum nel caso di trasmissione spontanea da parte degli interessati. Il punto 2) del comma 2 dell’art. 6 del decreto per lo sviluppo, infatti, aggiunge alla fine dell’art. 13 relativo all’informativa il nuovo comma 5-bis che prevede che: “L’informativa di cui al comma 1 non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro. Al momento del primo contatto successivo all’invio del curriculum, il titolare è tenuto a fornire all’interessato, anche oralmente, una informativa breve contenente almeno gli elementi di cui al comma 1, lettere a), d) ed f).”
Perciò, soltanto in un momento successivo a quello in cui ci sarà un primo contatto, il titolare del trattamento (per esempio l’azienda che convoca l’interessato), anche durante il colloquio con il candidato, sarà tenuto a fornire gli elementi dell’informativa previsti dall’art. 13: finalità e modalità del trattamento; soggetti che possono venire a conoscenza dei dati in quanto responsabili o incaricati del trattamento e ambito di diffusione dei dati; indicazione delle modalità per conoscere l’identità di tutti i responsabili del trattamento. In conseguenza di ciò, il decreto inserisce nell’art. 24 del Codice un’apposita esclusione dell’obbligo del consenso per il trattamento dei dati dei curricula ricevuti. Infatti, il punto 3) del comma 2 dell’art. 6 del decreto prevede che: “all’art. 24, comma 1, lettera g) le parole: “anche in riferimento all’attività di gruppi bancari e di società controllate o collegate” sono soppresse” e dopo la lettera i) è aggiunta la lettera i-bis) che prevede che il trattamento dei dati comuni può essere effettuato senza consenso quando riguarda dati contenuti nei curricula, nei casi di cui all’articolo 13, comma 5-bis”.
3) L'esonero del consenso per la comunicazione dei dati personali all'interno di gruppi societari
Inoltre, la nuova lettera i-ter dell’art. 24, introdotta dal decreto sullo sviluppo dispone che il trattamento dei dati comuni non necessita di consenso (fermo restando l’obbligo di rilasciare idonea informativa agli interessati) quando: “con esclusione della diffusione e fatto salvo quanto previsto dall’art. 130 del presente codice, riguarda la comunicazione di dati (ndr. relativi a persone fisiche o giuridiche) tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell’articolo 2359 del codice civile ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti, per le finalità amministrativo contabili, come definite all’articolo 34, comma 1-ter, e purché queste finalità siano previste espressamente con determinazione resa nota agli interessati all’atto dell’informativa di cui all’articolo 13”.


4) L'esonero dell'obbligo di consenso per i dati sensibili contenuti nei curriculum
L’esonero dall’obbligo del consenso riguarda anche i dati sensibili contenuti nei curricula, infatti il punto 4) del comma 2 dell’art. 6 del decreto per lo sviluppo introduce una apposita deroga all’interno del comma 3 dell’art. 26 del Codice, inserendo dopo la lettera b) la nuova lettera b-bis che prevede che il comma 1 (obbligo di consenso scritto per il trattamento dei dati sensibili) non si applica al trattamento “dei dati contenuti nei curricula, nei casi di cui all’articolo 13, comma 5-bis”.

5) L'esonero dell'obbligo di redigere il DPS
Ma la maggiore tra le novità introdotte con il decreto riguarda – almeno nella prospettiva di semplificazione perseguita dal Governo – l’esonero dall’obbligo di predisposizione del DPS (Documento Programmatico per la Sicurezza). Infatti, il punto 5) del comma 2 dell’art. 6 del decreto sostituisce il comma 1-bis dell’art 34 del Codice stabilendo che: “Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell’allegato B”.
La stessa disposizione prevede, inoltre, che: “In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrativo-contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l’innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all’adozione delle misure minime di cui al comma 1”.
A questo proposito va ricordato che il Garante, con il provvedimento generale 27 novembre 2008, aveva già introdotto alcune semplificazioni a favore di tratta dati personali non sensibili o tratta come unici dati sensibili dei dipendenti quelli riguardanti lo stato di salute o malattia (senza indicazione della diagnosi) o l’adesione a organizzazioni sindacali e a favore di piccole e medie imprese, liberi professionisti e artigiani che trattano dati solo per le correnti finalità amministrative e contabili. In base al provvedimento del Garante, i soggetti interessati, tra l’altro, possono impartire agli incaricati le istruzioni in materia di misure minime di sicurezza anche oralmente e devono aggiornare i programmi di sicurezza (antivirus) solo una volta l’anno, e fare il backup dei dati solo una volta al mese.

6) L'estensione del registro delle opposizioni per l'uso a fini di marketing degli indirizzi presenti nell'elenco telefonico
Un’ultima semplificazione introdotta dal punto 6) del comma 2 dell’art. 6 del decreto per lo sviluppo riguarda il marketing basato sugli indirizzi postali; infatti “all’art. 130, comma 3-bis (articolo introdotto dall’art. 20-bis della legge 20 novembre 2009, n. 166 di conversione del cd. “decreto Ronchi”) dopo le parole: “mediante l’impiego del telefono” sono inserite le seguenti: “e della posta cartacea” e dopo le parole: “l’iscrizione della numerazione della quale è intestatario” sono inserite le seguenti: “e degli altri dati personali di cui all’articolo 129, comma 1,”.
In sostanza, il decreto estende anche agli indirizzi postali il regime dell’opt-out di recente introdotto nel nostro ordinamento in materia di trattamento dei numeri telefonici degli abbonati per l’esercizio del marketing telefonico. Quindi anche per il direct mailing classico trova applicazione il registro delle opposizioni, per cui gli operatori di marketing diretto potranno utilizzare anche gli indirizzi degli abbonati contenuti nell’elenco telefonico per finalità promozionali senza bisogno di chiedere il consenso alla sola condizione che questi ultimi non abbiano richiesto l’iscrizione del proprio numero telefonico e del proprio indirizzo presso il registro delle opposizioni di recente istituito dalla L. n. 166/09 e gestito dalla Fondazione Ugo Bordoni.
Chiaramente l'obbligo di consultare il registro delle opposizioni riguarda solo coloro che abbiano intenzione di usare indirizzi tratti dagli elenchi telefonici. Chi usa recapiti di fonte diversa non è tenuto a tale adempimento.
Le norme introdotte dal Governo, con lo strumento del Decreto legge, dovranno passare al vaglio del Parlamento che entro 60 giorni (quindi entro il 12 luglio 2011) dovrà decidere se convertire in legge questo testo normativo, anche con eventuali modfiche.
Quindi questo testo normativo, anche se entra immediatamente in vigore, ha natura provvisoria e non è improbabile che intervengano quindi ulteriori modifiche rispetto a queste norme. In particolare va segnalato che la norma forse più rilevante, quella relativa all'estensione del registro delle opposizioni al mailing cartaceo, per trovare applicazione richiede che venga emanato un regolamento che definisca come dovrà essere gestita l'attività di consultazione del registro. I problemi tecnici da affrontare non sono indifferenti (basti pensare al lavoro di normalizzazione che dovrà essere gestito per permettere il matching degli indirizzi da sottoporre a verifica da parte del Gestore del Registro). Ricordo incidentalmente che il registro delle opposizioni oggi è organizzato solo per contenere dei numeri di telefono e non è previsto l'abbinamento di tali numeri ad un anagrafica univoca. Chiaramente questa impostazione dovrà cambiare per permettere di gestire una nuova tipologia di dati evitando il verificarsi di problemi non indifferenti. Se il numero di telefono è un dato riferibile esclusivamente ad un abbonato senza possibilità di errori, altrettanto non può dirsi di un mero indirizzo, che è riferibile a più soggetti e che richiede quindi di essere abbinato ad un soggetto determinato per poter essere gestito correttamente.
E' facile pronosticare che i tempi per risolvere questo rompicapo non saranno brevi e nel frattempo non va dimenticato che l'evoluzione normativa va in una direzione opposta rispetto all'estensione del meccanismo dell'opt out adottata da Decreto Legge Sviluppo.
In ogni caso prima di usare gli indirizzi presenti negli elenchi telefonici sarà bene aspettare i chiarimenti che sicuramente non tarderanno da parte del Garante e del Gestore del Registro delle opposizioni.

Le prospettive future e la riforma della direttiva comunitaria
Ma a parte questo aspetto contingente va tenuto presente un elemento strutturale che richia di incidere sul futuro di questa riforma: entro la fine del 2011, infatti, è prevista una profonda riforma della direttiva comunitaria in materia di data protection.

La linea che si sta seguendo in Europa è quella di mantenere i principi previsti dalla Direttiva del 1995, rendendoli però più dinamici e adeguati alle nuove tecnologie.

In particolare, chi tratta dati personali dovrà gestire questa attività come un processo da organizzare in base al principio di precauzione, per prevenire utilizzi abusivi delle informazioni trattate. I titolari del trattamento dovranno assumersi l'onere di documentare in una procedura interna tutto ciò che è necessario fare per rispettare i principi normativi ed essere in grado di dimostrare di aver fatto quanto necessario per gestire in modo adeguato questa materia. La privacy futura sarà sempre di più basata su regole organizzative finalizzate a prevenire usi impropri dei dati.

È probabile che troveranno sempre meno spazio operativo norme basate su consensi presunti e su registri pubblici delle opposizioni. Infatti il progetto di riforma della direttiva comunitaria prevede l'introduzione del principio per il quale il trattamento dei dati per fini di marketing richiede in ogni caso il consenso espresso dell'interessato

I confini della privacy, al di là della riforma introdotta in Italia con il registro delle opposizioni, esteso anche al mailing cartaceo, sono destinati, quindi, a muoversi ancora.

lunedì 18 aprile 2011

I mobili confini della privacy: il consenso espresso, il registro delle opposizioni e la riforma della direttiva comunitaria sul trattamento dei dati personali

Quando si discute di privacy in realtà si disegna un confine; cioè ci si pone il problema di definire secondo quali criteri debba essere tracciata la linea ideale che separa l'individuo dalla collettività. In pratica le norme sulla privacy definiscono secondo quali principi debba essere risolto il conflitto di interessi che sorge tra la pretesa del singolo ad essere lasciato solo e l'esigenza della collettività di conoscere, per finalità determinate, le informazioni che riguardano ognuno di noi.
Il confine della privacy è in continuo movimento
Guardando con realismo all'evoluzione in questi ultimi quindici anni delle norme sul trattamento dei dati personali dobbiamo constatare che i confini della privacy sono estremamente mobili e si modificano con sorprendente facilità, ora restringendo lo spazio di tutela offerto all'individuo, ora allargandolo oltre misura.

Un esempio eclatante di questa tendenza è offerto dall'evoluzione delle norme che in Italia regolano il trattamento dei dati personali per finalità commerciali. Per molti anni per poter inviare messaggi indirizzati ai consumatori era richiesto il consenso espresso dell'interessato. Nel corso del tempo questo principio chiaro che rappresenta la massima forma di tutela per l'interessato, rendendo illecite tutte le attività di trattamento delle quali non è stato preventivamente informato e che ha espressamente autorizzato, ha conosciuto diverse deroghe fino a giungere all'ultima clamorosa riforma relativa all'uso dei numeri di telefono presenti negli elenchi telefonici per effettuare telefonate commerciali, ricerche di mercato o per per promuovere l'invio di materiale pubblicitario. Tale riforma ha sostanzialmente sovvertito le regole consolidate rendendo legittimo l'uso di questi dati in assenza di esplicito dissenso da parte del cittadino. Si è passati quindi da un sistema basato sull'opt in ad un meccanismo fondato sulla logica dell'opt out.

La nuova normativa ci porta ad esaminare quale sia il modo più efficiente attraverso il quale ognuno di noi può esprimere la sua volontà rispetto al trattamento dei suoi dati. La riforma introdotta in Italia attribuisce valore legale al silenzio, intendendo che la mancata opposizione rende possibile il trattamento dei dati per svolgere attività di telemarketing. È però vivo in Europa il dibattito sul ruolo da attribuire al silenzio. Anche per questo le posizioni critiche rispetto alla riforma adottata in Italia sono state numerose.

Per dare giusto peso a queste critiche appare quanto mai necessario riequilibrare, sotto il profilo strettamente normativo, le asimmetrie esistenti nel rapporto tra cittadini-utenti ed operatori telefonici. Le nuove norme sulle attività di telemarketing contengono disposizioni che agiscono chiaramente in favore degli operatori commerciali, mettendoli in condizione di poter utilizzare ogni dato del cittadino che risulti disponibile, mentre fa obbligo all'utente che intenda sottrarsi alle telefonate commerciali di sottoporsi ad una procedura di opposizione.
Ci sono le premesse perché il tema sia ancora oggetto di interventi normativi. Tanto più che entro la fine del 2011 è prevista la riforma profonda della direttiva comunitaria in materia di data protection. Sicuramente quindi il legislatore italiano dovrà tornare ad occuparsi di questi argomenti.
La riforma europea in discussione ha l'obiettivo di creare un quadro giuridico coerente e tendenzialmente uniforme tra i vari Stati Membri, tenendo conto delle dimensioni internazionali assunte dal fenomeno della circolazione dei dati e delle nuove forme di trattamento cui gli stessi possono essere sottoposti.

La linea che si sta seguendo in Europa è quella di mantenere i principi previsti dalla Direttiva del 1995, rendendoli però più dinamici e adeguati alle nuove tecnologie. In particolare chi tratta dati personali dovrà gestire questa attività come un processo da organizzare in base al principio di precauzione, per prevenire utilizzi abusivi delle informazioni trattate. I titolari del trattamento dovranno assumersi l’onere di documentare in una procedura interna tutto ciò che è necessario fare per rispettare i principi normativi per essere in grado di dimostrare di aver fatto quanto necessario per gestire in modo adeguato questa materia. La privacy futura sarà sempre di più basata su regole organizzative finalizzate a prevenire usi impropri dei dati. In questo contesto è probabile che troveranno sempre meno spazio operativo norme basate su consensi presunti e su registri pubblici delle opposizioni.

I confini della privacy, al di là della riforma introdotta in Italia con il registro delle opposizioni, quindi sono destinati a muoversi ancora, accompagnando la dinamica sociale e l'evoluzione del costume.

lunedì 31 gennaio 2011

Il nuovo registro delle opposizioni: cosa cambia per la comunicazione commerciale diretta


 Dal 1° febbraio 2011 diventa operativo il DPR 178/2010 che contiene il regolamento attuativo del nuovo registro delle opposizioni. Se ne parlava da diversi mesi, quando nel novembre 2009 il Parlamento aveva approvato una riforma che sostanzialmente rende possibile l’utilizzo dei numeri di telefono presenti negli elenchi telefonici per effettuare chiamate commerciali senza necessità di un preventivo consenso espresso da parte degli abbonati.

Al contrario se una persona non vuole ricevere chiamate commerciali non desiderate deve iscriversi ad un apposito registro detto “ registro delle opposizioni” di modo che le imprese che vogliono effettuare campagne di telemarketing possano accertarsi che il numero di telefono di chi si è iscritto nel registro non sia tra quelli che compaiono nella lista preparata per l’azione di telemarketing.
Tecnicamente si dice che si è passati da un sistema di opt in, nel quale occorre il consenso espresso dell’interessato per trattare i suoi dati, ad un regime di opt out, in base al quale i dati sono liberamente trattabili fino a quando la persona non manifesta espressamente di opporsi ad un determinato trattamento.

Dopo la riforma di novembre 2009 occorreva che il registro delle opposizioni fosse istituito e fosse definito il suo funzionamento e a questo scopo è stato approvato il regolamento attuativo.

Si tratta quindi di un provvedimento che disciplina l'istituzione del registro pubblico degli abbonati che si oppongono al trattamento del proprio numero telefonico per vendite o promozioni e rappresenta il passaggio dal principio della necessità del consenso esplicito per l'utilizzo dei dati per finalità commerciali chiarito dall'articolo 129 del Codice della Privacy (decreto legislativo 196/2003), al principio opposto della necessaria manifestazione di dissenso da parte dell'abbonato, in mancanza della quale, sono legittime le telefonate per finalità commerciali.

In questo modo l’istituzione del «Registro pubblico delle opposizioni», operativo dal 1° febbraio 2011 tutelerà, attraverso una semplice iscrizione telematica, la privacy degli utenti che non desiderano ricevere queste chiamate. Di conseguenza gli operatori del settore potranno contattare esclusivamente gli abbonati consenzienti, ossia non iscritti nel registro, istituito e gestito dal Ministero dello Sviluppo Economico.

L’abbonato potrà disporre senza alcuna limitazione dei propri dati e, nel momento in cui farà richiesta di inserimento nel «Registro pubblico delle opposizioni», chi lo gestisce sarà tenuto ad evadere tale richiesta nel più breve tempo possibile.

Il Ministero dello Sviluppo Economico, in collaborazione con il Consiglio Nazionale Consumatori e Utenti–CNCU, gestisce in questi mesi una specifica campagna di informazione per gli abbonati telefonici per favorire la conoscenza e le facoltà previste dal provvedimento, volto non solo a tutelare i diritti dei consumatori ma anche stimolare una maggiore competitività delle imprese del settore.

Cosa cambia in concreto

In pratica chi vuole effettuare una campagna di telemarketing outbound prelevando i numeri di telefono dall’attuale elenco telefonico deve prima preoccuparsi di inviare la lista, via web o via posta elettronica al gestore del registro delle opposizioni che effettuerà il matching per eliminare dalla lista i numeri di telefono di coloro che si sono iscritti nel registro, restituendo la lista nelle 24 ore successive alla richiesta.

Va sottolineato quindi il fatto che il registro delle opposizioni opera solo per l’uso dei numeri provenienti dagli elenchi telefonici e quindi se si dispone di liste formate con altre modalità non si è tenuti a verificare preventivamente la propria lista con il registro. In questo senso si può dire che il registro delle opposizioni opera nei confronti dei prospect, cioè di potenziali clienti con i quali non si è mai intrattenuta nessuna relazione. Viceversa se le persone che si vogliono contattare sono soggetti i cui dati compaiono in liste formate in modo diverso dalla raccolta dei numeri di telefono dagli elenchi telefonici il registro delle opposizioni non va consultato e anche una successiva iscrizione nel registro da parte dell’interessato non produce l’effetto di impedire future chiamate.

E per la posta?

Il registro delle opposizioni non si occupa dell’utilizzabilità degli indirizzi postali presenti negli elenchi telefonici, ma occorre segnalare che un disegno di legge, recante disposizioni in materia di semplificazione dei rapporti della Pubblica Amministrazione con cittadini e imprese e delega al Governo per l'emanazione della Carta dei doveri delle amministrazioni pubbliche e per la codificazione in materia di pubblica amministrazione, approvato dalla Camera e attualmente all'esame del Senato (A.S. 2243), reca, al comma 2 dell'articolo 34, una disposizione che modifica ulteriormente l'articolo 130, comma 3-bis, del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, estendendo alla posta cartacea il regime introdotto nel 2007 per le comunicazioni commerciali mediante impiego di telefono; ciò potrà determinare l'esigenza di integrare in futuro il regolamento del registro delle opposizioni, per tener conto dell'estensione dell'ambito di applicazione delle modalità di opposizione da esso disciplinate.

A tal fine il Senato, approvando il regolamento ha inviato il Governo a prevedere l'istituzione di più registri, in relazione a diverse tipologie commerciali, stabilendo che il Ministero dello sviluppo economico provveda alla disciplina delle modalità con cui organizzare tali banche dati e gestisca direttamente soltanto quelle riferite a settori privi di interesse di mercato, mentre affidi a soggetti terzi le restanti.

In questo senso quindi i prossimi mesi saranno molto importanti per capire quale sarà il futuro assetto delle regole della comunicazione commerciale diretta in Italia.

I punti critici: la posizione del Garante

Peraltro va evidenziato che la partita sul registro delle opposizioni è tutt’altro che chiusa: infatti malgrado l’approvazione del Regolamento del registro delle opposizioni, restano sul tavolo ancora diverse questioni da chiarire. A cominciare da quelle che aveva segnalato il Garante per la protezione dei dati personali, in un comunicato stampa diffuso in data 4 novembre 2009, nel quale aveva espresso gravi perplessità, sottolineando gli effetti negativi di tale norma sulle telefonate promozionali. Al riguardo, il Commissario, Mauro Paissan, aveva dichiarato: “Si tratta di un errore. Gli utenti telefonici verranno bombardati di messaggi e si vedranno costretti a iscriversi a un apposito registro per opporsi. Ma questi registri non hanno funzionato in nessun paese dove sono stati istituiti. E comunque molti cittadini, soprattutto gli anziani, troveranno molta difficoltà a manifestare il loro dissenso. Infine, l'Italia con questa norma si rende responsabile di un'ulteriore infrazione comunitaria e Bruxelles ce la farà pagare”.

La posizione dell’Unione Europea

Anche in Europa la riforma italiana per il telemarketing suscita diverse obiezioni. Già il 28 gennaio 2010 la Commissione Europea aveva inviato all'Italia una lettera di messa in mora (procedura n. 2009/2356) per non aver recepito correttamente la direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche. I rilievi formulati dalla Commissione riguardano sostanzialmente due profili: il primo attiene alla violazione dell'articolo 12, paragrafi 1 e 2, della direttiva, che stabiliscono l'obbligo per gli Stati membri di garantire che gli abbonati i cui nominativi figurano in un elenco pubblico siano informati sugli scopi dell'elenco e diano il proprio consenso per l'uso dei dati personali che vi sono contenuti. Al riguardo la Commissione ha contestato alle autorità italiane di non avere ottemperato a tale obbligo nel momento in cui sono state costituite banche dati per le televendite, ricavate da elenchi pubblici di abbonati senza che gli interessati fossero stati informati del trasferimento dei loro dati personali o avessero acconsentito esplicitamente all'inserimento di tali dati nelle predette banche dati. In base alla normativa italiana, infatti, non è richiesto il consenso degli interessati, né che essi siano informati circa l'uso dei loro dati personali a fini promozionali e con la legge 20 novembre 2009, n. 166 è stata prorogata la possibilità di usare banche dati contenenti dati personali di cui non è stato consentito l'utilizzo. Il secondo profilo, riguarda infine la violazione dell'articolo 13, paragrafo 3, della direttiva che fissa l'obbligo per gli Stati membri di vietare le comunicazioni indesiderate a scopo di commercializzazione diretta senza il consenso degli abbonati interessati, o se gli abbonati esprimono il desiderio di non ricevere questo tipo di chiamate.

Con riferimento a tali questioni di incompatibilità con la disciplina comunitaria, la Commissaria Europea alle Telecomunicazioni, Viviane Reding ha dichiarato che ”Il pieno rispetto della privacy degli utenti dei servizi di telecomunicazione è di fondamentale importanza per una moderna società digitale. La direttiva UE relativa alla vita privata e alle comunicazioni elettroniche attribuisce ai singoli un insieme di strumenti per proteggere la loro privacy e dei dati personali. Non solo è preoccupante vedere che la normativa italiana non è conforme ai requisiti della privacy stabiliti nella direttiva, ma che le autorità italiane hanno ulteriormente prolungato l'uso di banche dati che includono i dati personali per l'impiego di cui il consenso non era stato concesso. Dobbiamo garantire che le norme comunitarie siano rispettate da tutti gli Stati membri dell'UE affinché i cittadini si sentono sicuri nel mercato unico delle telecomunicazioni

Il ruolo del silenzio

E poi c’è da discutere del modo in cui ognuno di noi può esprimere la sua volontà rispetto al trattamento dei suoi dati. La riforma votata dal parlamento attribuisce valore legale al silenzio, intendendo che la mancata opposizione rende possibile il trattamento dei dati.

È però vivo in Europa il dibattito sul ruolo da attribuire al silenzio, che a differenza del comportamento concludente che pure costituisce forma, sebbene tacita, di manifestazione di volontà, è invece un’omissione di qualsiasi comportamento, in quanto mera inerzia o inattività.

Sono in molti, a cominicare dalla Commissaria Reding, a sostenere che il silenzio, sostanziandosi in un contegno di per sé neutro ed equivoco, non può da solo costituire manifestazione di volontà negoziale. Quindi il silenzio, può assumere il valore giuridico di espressione di volontà negoziale solo quando è la legge ad attribuire ad esso un siffatto significato (cosiddetto silenzio con significato legalmente tipico), o è il contesto di circostanze, in cui detto comportamento silente è inserito, a conferire complessivamente allo stesso un significato rilevante agli effetti contrattuali (cosiddetto silenzio circostanziato).

Verso un rapporto equilibrato tra imprese e consumatori.

Anche per dare giusto peso a queste critiche appare quanto mai necessario riequilibrare, anche sotto il profilo strettamente normativo, le asimmetrie esistenti nel rapporto tra cittadini-utenti ed operatori.

La riforma cui è stata data esecuzione a luglio contiene disposizioni che operano chiaramente in favore degli operatori commerciali, mettendoli in condizione di poter utilizzare ogni dato del cittadino che risulti disponibile, mentre fa obbligo all'utente che intenda sottrarsi alle telefonate commerciali di sottoporsi ad una procedura di opposizione.

Ma non sono mancate durante il dibattito parlamentare le voci di chi ha chiesto di adottare con un successivo atto normativo di rango primario misure volte a modificare la norma delegante in modo tale da prevedere l'istituzione di uno o più registri dei consenzienti, in relazione alle diverse tipologie commerciali. Sarebbe bene adottare una inversione della procedura di accesso ai dati, che obblighi gli operatori commerciali a contattare solo gli utenti che abbiano preventivamente manifestato il loro consenso ad essere destinatari di messaggi pubblicitari e commerciali.

Questo anche per evitare che le persone, esasperate dalle chiamate non sollecitate, si iscrivano in massa al registro e non siano più contattabili, con grave danno soprattutto per le piccole e medie imprese che non possono utilizzare forme alternative di comunicazione commerciale e che perdono l’opportunità di acquisire direttamente nuovi potenziali clienti.

Ci sono le premesse perché il tema sia ancora oggetto di interventi normativi. Tanto più che entro la fine del 2011 è prevista la riforma profonda della direttiva comunitaria 95/46 da cui sono nate le norme nazionali in materia di data protection. Sicuramente quindi il legislatore italiano dovrà tornare tra breve ad occuparsi di questi argomenti.