mercoledì 18 maggio 2011

Decreto sviluppo e privacy: quali novità per le imprese

Registro delle opposizioni anche per i messaggi postali
La notizia era stata diffusa nelle scorse settimane già come un dato di fatto acquisito e come un testo di legge vigente. In realtà solo venerdì scorso è stato pubblicato in Gazzetta Ufficiale il Decreto Legge 13 maggio 2011 n. 70 meglio noto come Decreto Sviluppo.
Si tratta di un testo complesso che contiene una serie di misure urgenti per l’economia tra le quali spiccano alcune importanti novità per quanto riguarda l’applicazione della legge sulla privacy per le imprese.
In particolare l'articolo 6 dedicato alle “Ulteriori riduzioni e semplificazioni degli adempimenti burocratici”, nei suoi primi due commi contiene le modifiche relative all'applicazione delle norme in materia di trattamento dei dati personali da parte delle imprese.
In estrema sintesi le modifiche riguardano questi aspetti:
  • a) disapplicazione della normativa in materia di dati personali ai trattamenti relativi a dati di persone giuridiche per finalità amministrative e contabili
  • b) semplificazione delle regole relative al trattamento dei curriculum inviati spontaneamente alle aziende
  • c) semplificazione degli obblighi legati alla stesura del Documento Programmatico sulla sicurezza (DPS)
  • d) estensione del regime dell'opt out agli indirizzi estratti dagli elenchi telefonici per l'invio di messaggi postali
Vediamo i dettagli.

1) La normativa privacy non si applica ai trattamenti di dati riferiti a persone giuridiche, imprese, enti o associazioni per finalità amministrative o contabili.
Il comma 1, lettera a) dell’art. 6 ridimensiona fortemente l’ambito di applicazione del Codice della privacy stabilendo che: “in corretta applicazione della normativa europea le comunicazioni relative alla riservatezza dei dati personali sono limitate alla tutela dei cittadini, conseguentemente non trovano applicazione nei rapporti tra imprese”.
Il comma 2, dell’art. 6 del decreto, invece, introduce importanti modifiche ad alcuni articoli del D.Lgs. n. 196/03. Vediamole brevemente nel dettaglio.
Per quanto riguarda l’ambito di applicazione del Codice, il nuovo comma 3-bis aggiunto all’art. 5 prevede che: “Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo-contabili, come definite all’articolo 34, comma 1-ter, non è soggetto all’applicazione del presente codice.” Quindi, la protezione della riservatezza dei dati personali è limitata ai cittadini (cioè alle persone fisiche) e non trova applicazione nei rapporti tra imprese; o meglio i dati delle persone giuridiche, imprese, enti e associazioni (quindi non solo, come ora previsto, i dati relativi alle attività economiche) possono essere trattati senza vincoli, purchè si tratti di trattamenti per le normali finalità amministrativo-contabili. Lo stesso decreto, modificando il comma 1-bis dell’art. 34 sulle misure di sicurezza per i trattamenti dei dati con strumenti informatici (già modificato dalle semplificazioni introdotte con il D.L. n. 112/2008, convertito nella legge n. 133/08), chiarisce che: “Ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro”.
Pertanto, in pratica, non saranno più necessarie informative e richieste di consenso se si trattano dati personali relativi a persone giuridiche, esclusivamente per finalità amministrativo-contabili, nel senso chiarito dalla nuova norma.

2) Le regole semplificate per gestire i curriculum spontenei
Un’altra importante novità riguarda la gestione dei curriculum nel caso di trasmissione spontanea da parte degli interessati. Il punto 2) del comma 2 dell’art. 6 del decreto per lo sviluppo, infatti, aggiunge alla fine dell’art. 13 relativo all’informativa il nuovo comma 5-bis che prevede che: “L’informativa di cui al comma 1 non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro. Al momento del primo contatto successivo all’invio del curriculum, il titolare è tenuto a fornire all’interessato, anche oralmente, una informativa breve contenente almeno gli elementi di cui al comma 1, lettere a), d) ed f).”
Perciò, soltanto in un momento successivo a quello in cui ci sarà un primo contatto, il titolare del trattamento (per esempio l’azienda che convoca l’interessato), anche durante il colloquio con il candidato, sarà tenuto a fornire gli elementi dell’informativa previsti dall’art. 13: finalità e modalità del trattamento; soggetti che possono venire a conoscenza dei dati in quanto responsabili o incaricati del trattamento e ambito di diffusione dei dati; indicazione delle modalità per conoscere l’identità di tutti i responsabili del trattamento. In conseguenza di ciò, il decreto inserisce nell’art. 24 del Codice un’apposita esclusione dell’obbligo del consenso per il trattamento dei dati dei curricula ricevuti. Infatti, il punto 3) del comma 2 dell’art. 6 del decreto prevede che: “all’art. 24, comma 1, lettera g) le parole: “anche in riferimento all’attività di gruppi bancari e di società controllate o collegate” sono soppresse” e dopo la lettera i) è aggiunta la lettera i-bis) che prevede che il trattamento dei dati comuni può essere effettuato senza consenso quando riguarda dati contenuti nei curricula, nei casi di cui all’articolo 13, comma 5-bis”.
3) L'esonero del consenso per la comunicazione dei dati personali all'interno di gruppi societari
Inoltre, la nuova lettera i-ter dell’art. 24, introdotta dal decreto sullo sviluppo dispone che il trattamento dei dati comuni non necessita di consenso (fermo restando l’obbligo di rilasciare idonea informativa agli interessati) quando: “con esclusione della diffusione e fatto salvo quanto previsto dall’art. 130 del presente codice, riguarda la comunicazione di dati (ndr. relativi a persone fisiche o giuridiche) tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell’articolo 2359 del codice civile ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti, per le finalità amministrativo contabili, come definite all’articolo 34, comma 1-ter, e purché queste finalità siano previste espressamente con determinazione resa nota agli interessati all’atto dell’informativa di cui all’articolo 13”.


4) L'esonero dell'obbligo di consenso per i dati sensibili contenuti nei curriculum
L’esonero dall’obbligo del consenso riguarda anche i dati sensibili contenuti nei curricula, infatti il punto 4) del comma 2 dell’art. 6 del decreto per lo sviluppo introduce una apposita deroga all’interno del comma 3 dell’art. 26 del Codice, inserendo dopo la lettera b) la nuova lettera b-bis che prevede che il comma 1 (obbligo di consenso scritto per il trattamento dei dati sensibili) non si applica al trattamento “dei dati contenuti nei curricula, nei casi di cui all’articolo 13, comma 5-bis”.

5) L'esonero dell'obbligo di redigere il DPS
Ma la maggiore tra le novità introdotte con il decreto riguarda – almeno nella prospettiva di semplificazione perseguita dal Governo – l’esonero dall’obbligo di predisposizione del DPS (Documento Programmatico per la Sicurezza). Infatti, il punto 5) del comma 2 dell’art. 6 del decreto sostituisce il comma 1-bis dell’art 34 del Codice stabilendo che: “Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell’allegato B”.
La stessa disposizione prevede, inoltre, che: “In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrativo-contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l’innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all’adozione delle misure minime di cui al comma 1”.
A questo proposito va ricordato che il Garante, con il provvedimento generale 27 novembre 2008, aveva già introdotto alcune semplificazioni a favore di tratta dati personali non sensibili o tratta come unici dati sensibili dei dipendenti quelli riguardanti lo stato di salute o malattia (senza indicazione della diagnosi) o l’adesione a organizzazioni sindacali e a favore di piccole e medie imprese, liberi professionisti e artigiani che trattano dati solo per le correnti finalità amministrative e contabili. In base al provvedimento del Garante, i soggetti interessati, tra l’altro, possono impartire agli incaricati le istruzioni in materia di misure minime di sicurezza anche oralmente e devono aggiornare i programmi di sicurezza (antivirus) solo una volta l’anno, e fare il backup dei dati solo una volta al mese.

6) L'estensione del registro delle opposizioni per l'uso a fini di marketing degli indirizzi presenti nell'elenco telefonico
Un’ultima semplificazione introdotta dal punto 6) del comma 2 dell’art. 6 del decreto per lo sviluppo riguarda il marketing basato sugli indirizzi postali; infatti “all’art. 130, comma 3-bis (articolo introdotto dall’art. 20-bis della legge 20 novembre 2009, n. 166 di conversione del cd. “decreto Ronchi”) dopo le parole: “mediante l’impiego del telefono” sono inserite le seguenti: “e della posta cartacea” e dopo le parole: “l’iscrizione della numerazione della quale è intestatario” sono inserite le seguenti: “e degli altri dati personali di cui all’articolo 129, comma 1,”.
In sostanza, il decreto estende anche agli indirizzi postali il regime dell’opt-out di recente introdotto nel nostro ordinamento in materia di trattamento dei numeri telefonici degli abbonati per l’esercizio del marketing telefonico. Quindi anche per il direct mailing classico trova applicazione il registro delle opposizioni, per cui gli operatori di marketing diretto potranno utilizzare anche gli indirizzi degli abbonati contenuti nell’elenco telefonico per finalità promozionali senza bisogno di chiedere il consenso alla sola condizione che questi ultimi non abbiano richiesto l’iscrizione del proprio numero telefonico e del proprio indirizzo presso il registro delle opposizioni di recente istituito dalla L. n. 166/09 e gestito dalla Fondazione Ugo Bordoni.
Chiaramente l'obbligo di consultare il registro delle opposizioni riguarda solo coloro che abbiano intenzione di usare indirizzi tratti dagli elenchi telefonici. Chi usa recapiti di fonte diversa non è tenuto a tale adempimento.
Le norme introdotte dal Governo, con lo strumento del Decreto legge, dovranno passare al vaglio del Parlamento che entro 60 giorni (quindi entro il 12 luglio 2011) dovrà decidere se convertire in legge questo testo normativo, anche con eventuali modfiche.
Quindi questo testo normativo, anche se entra immediatamente in vigore, ha natura provvisoria e non è improbabile che intervengano quindi ulteriori modifiche rispetto a queste norme. In particolare va segnalato che la norma forse più rilevante, quella relativa all'estensione del registro delle opposizioni al mailing cartaceo, per trovare applicazione richiede che venga emanato un regolamento che definisca come dovrà essere gestita l'attività di consultazione del registro. I problemi tecnici da affrontare non sono indifferenti (basti pensare al lavoro di normalizzazione che dovrà essere gestito per permettere il matching degli indirizzi da sottoporre a verifica da parte del Gestore del Registro). Ricordo incidentalmente che il registro delle opposizioni oggi è organizzato solo per contenere dei numeri di telefono e non è previsto l'abbinamento di tali numeri ad un anagrafica univoca. Chiaramente questa impostazione dovrà cambiare per permettere di gestire una nuova tipologia di dati evitando il verificarsi di problemi non indifferenti. Se il numero di telefono è un dato riferibile esclusivamente ad un abbonato senza possibilità di errori, altrettanto non può dirsi di un mero indirizzo, che è riferibile a più soggetti e che richiede quindi di essere abbinato ad un soggetto determinato per poter essere gestito correttamente.
E' facile pronosticare che i tempi per risolvere questo rompicapo non saranno brevi e nel frattempo non va dimenticato che l'evoluzione normativa va in una direzione opposta rispetto all'estensione del meccanismo dell'opt out adottata da Decreto Legge Sviluppo.
In ogni caso prima di usare gli indirizzi presenti negli elenchi telefonici sarà bene aspettare i chiarimenti che sicuramente non tarderanno da parte del Garante e del Gestore del Registro delle opposizioni.

Le prospettive future e la riforma della direttiva comunitaria
Ma a parte questo aspetto contingente va tenuto presente un elemento strutturale che richia di incidere sul futuro di questa riforma: entro la fine del 2011, infatti, è prevista una profonda riforma della direttiva comunitaria in materia di data protection.

La linea che si sta seguendo in Europa è quella di mantenere i principi previsti dalla Direttiva del 1995, rendendoli però più dinamici e adeguati alle nuove tecnologie.

In particolare, chi tratta dati personali dovrà gestire questa attività come un processo da organizzare in base al principio di precauzione, per prevenire utilizzi abusivi delle informazioni trattate. I titolari del trattamento dovranno assumersi l'onere di documentare in una procedura interna tutto ciò che è necessario fare per rispettare i principi normativi ed essere in grado di dimostrare di aver fatto quanto necessario per gestire in modo adeguato questa materia. La privacy futura sarà sempre di più basata su regole organizzative finalizzate a prevenire usi impropri dei dati.

È probabile che troveranno sempre meno spazio operativo norme basate su consensi presunti e su registri pubblici delle opposizioni. Infatti il progetto di riforma della direttiva comunitaria prevede l'introduzione del principio per il quale il trattamento dei dati per fini di marketing richiede in ogni caso il consenso espresso dell'interessato

I confini della privacy, al di là della riforma introdotta in Italia con il registro delle opposizioni, esteso anche al mailing cartaceo, sono destinati, quindi, a muoversi ancora.