venerdì 22 luglio 2011

La privacy semplificata per le imprese.

Cosa cambia in dettaglio. La riforma spiegata in sei punti.


Come cambia la privacy dopo l'approvazione della legge n. 106 del 12 luglio 2011. Ecco una guida ragionata in sei punti per capire quali sono gli effetti pratici della riforma.
I dettagli della Semplificazione  

1) La normativa privacy non si applica ai trattamenti di dati riferiti a persone giuridiche, imprese, enti o associazioni per finalità amministrative o contabili.
Si ridimensiona fortemente l’ambito di applicazione del Codice della privacy stabilendo che: “in corretta applicazione della normativa europea le comunicazioni relative alla riservatezza dei dati personali sono limitate alla tutela dei cittadini, conseguentemente non trovano applicazione nei rapporti tra imprese”.
In particolare si introducono importanti modifiche ad alcuni articoli del D.Lgs. n. 196/03. Vediamole brevemente nel dettaglio.
Per quanto riguarda l’ambito di applicazione del Codice, si prevede che il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo-contabili, non è soggetto all’applicazione del presente codice.” Quindi, la protezione della riservatezza dei dati personali è limitata agli individui (cioè alle persone fisiche) e non trova applicazione nei rapporti tra imprese; o meglio i dati delle persone giuridiche, imprese, enti e associazioni (quindi non solo, come ora previsto, i dati relativi alle attività economiche) possono essere trattati senza vincoli, purchè si tratti di trattamenti per le normali finalità amministrativo-contabili. La stessa normativa chiarisce che: “Ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro”.
Pertanto, in pratica, non saranno più necessarie informative e richieste di consenso se si trattano dati personali relativi a persone giuridiche, esclusivamente per finalità amministrativo-contabili, nel senso chiarito dalla nuova norma.


2) Le regole semplificate per gestire i curriculum spontenei
Un’altra importante novità riguarda la gestione dei curriculum nel caso di trasmissione spontanea da parte degli interessati. L’informativa non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro. Al momento del primo contatto successivo all’invio del curriculum, il titolare è tenuto a fornire all’interessato, anche oralmente, una informativa breve
Perciò, soltanto in un momento successivo a quello in cui ci sarà un primo contatto, il titolare del trattamento (per esempio l’azienda che convoca l’interessato), anche durante il colloquio con il candidato, sarà tenuto a fornire gli elementi dell’informativa previsti dall’art. 13: finalità e modalità del trattamento; soggetti che possono venire a conoscenza dei dati in quanto responsabili o incaricati del trattamento e ambito di diffusione dei dati; indicazione delle modalità per conoscere l’identità di tutti i responsabili del trattamento. In conseguenza di ciò è stata introdotta un’apposita esclusione dell’obbligo del consenso per il trattamento dei dati dei curricula ricevuti. 

3) L'esonero del consenso per la comunicazione dei dati personali all'interno di gruppi societari
Inoltre, il trattamento dei dati comuni non necessita più di consenso (fermo restando l’obbligo di rilasciare idonea informativa agli interessati) quando riguarda la comunicazione di dati tra società, enti o associazioni con società controllanti, controllate o collegate ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti, per le finalità amministrativo contabili e purché queste finalità siano previste espressamente con determinazione resa nota agli interessati mediante l’informativa.


4) L'esonero dell'obbligo di consenso per i dati sensibili contenuti nei curriculum
L’esonero dall’obbligo del consenso riguarda anche i dati sensibili contenuti nei curricula. Viene infatti stabilito che l'obbligo di consenso scritto per il trattamento dei dati sensibili non si applica al trattamento dei dati contenuti nei curriculum.


5) L'esonero dell'obbligo di redigere il DPS
La nuova normativa prevede l’esonero dall’obbligo di predisposizione del DPS (Documento Programmatico per la Sicurezza). Infatti, si è stabilito che per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dalle norme vigenti.
La stessa disposizione prevede, inoltre, che in relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrativo-contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l’innovazione, individua con proprio provvedimento, da aggiornare periodicamente, quali siano le misure di sicurezza da adottare.
A questo proposito va ricordato che il Garante, con il provvedimento generale 27 novembre 2008, aveva già introdotto alcune semplificazioni a favore di tratta dati personali non sensibili o tratta come unici dati sensibili dei dipendenti quelli riguardanti lo stato di salute o malattia (senza indicazione della diagnosi) o l’adesione a organizzazioni sindacali e a favore di piccole e medie imprese, liberi professionisti e artigiani che trattano dati solo per le correnti finalità amministrative e contabili. In base al provvedimento del Garante, i soggetti interessati, tra l’altro, possono impartire agli incaricati le istruzioni in materia di misure minime di sicurezza anche oralmente e devono aggiornare i programmi di sicurezza (antivirus) solo una volta l’anno, e fare il backup dei dati solo una volta al mese.

6) L'estensione del registro delle opposizioni per l'uso a fini di marketing degli indirizzi presenti nell'elenco telefonico
Un’ultima semplificazione riguarda il marketing basato sugli indirizzi postali. In sostanza, la normativa estende anche agli indirizzi postali il regime dell’opt-out di recente introdotto nel nostro ordinamento in materia di trattamento dei numeri telefonici degli abbonati per l’esercizio del marketing telefonico. Quindi anche per il direct mailing classico trova applicazione il registro delle opposizioni, per cui gli operatori di marketing diretto potranno utilizzare anche gli indirizzi degli abbonati contenuti nell’elenco telefonico per finalità promozionali senza bisogno di chiedere il consenso alla sola condizione che questi ultimi non abbiano richiesto l’iscrizione del proprio numero telefonico e del proprio indirizzo presso il registro delle opposizioni di recente istituito dalla Legge n. 166/09 e gestito dalla Fondazione Ugo Bordoni.
Chiaramente l'obbligo di consultare il registro delle opposizioni riguarda solo coloro che abbiano intenzione di usare indirizzi tratti dagli elenchi telefonici. Chi usa recapiti di fonte diversa non è tenuto a tale adempimento.
In particolare va segnalato che la norma forse più rilevante, quella relativa all'estensione del registro delle opposizioni al mailing cartaceo, per trovare applicazione richiede che venga emanato un regolamento che definisca come dovrà essere gestita l'attività di consultazione del registro. I problemi tecnici da affrontare non sono indifferenti (basti pensare al lavoro di normalizzazione che dovrà essere gestito per permettere il matching degli indirizzi da sottoporre a verifica da parte del Gestore del Registro).
Il registro delle opposizioni oggi è organizzato solo per contenere dei numeri di telefono e non è previsto l'abbinamento di tali numeri ad un anagrafica univoca. Chiaramente questa impostazione dovrà cambiare per permettere di gestire una nuova tipologia di dati evitando il verificarsi di problemi non indifferenti. Se il numero di telefono è un dato riferibile esclusivamente ad un abbonato senza possibilità di errori, altrettanto non può dirsi di un mero indirizzo, che è riferibile a più soggetti e che richiede quindi di essere abbinato ad un soggetto determinato per poter essere gestito correttamente.
Saranno necessari chiarimenti applicativi con un integrazione al DPR n. 178/2010 che regola l'uso del Registro delle Opposizioni. Nel frattempo chi vuole usare gli indirizzi presenti negli elenchi telefonici dovrà passare in ogni caso attraverso il filtro del Registro delle opposizioni e precauzionalmente desumere che chi si è opposto all'uso del suo numero di telefono non voglia che venga usato nemmeno il suo indirizzo a fini commerciali. Occorrerà quindi, fino a diversa indicazione, verificare preventivamente che il numero di telefono di coloro di cui si vuole usare l'indirizzo non sia presente nel registro delle opposizioni. Per il futuro si spera che le regole cambino perchè in caso contrario la riforma rischia di rivelarsi un clamoroso boomerang, con aggravio di costi ed adempimenti anche a carico di chi vuole inviare un mailing traendo gli indirizzi dagli elenchi telefonici.




venerdì 15 luglio 2011

Privacy: si cambia. Tra semplificazioni e prospettive di riforma

Le nuove norme dopo l'approvazione della Legge 12 luglio 2011 n. 106

di Marco Maglio (*)

(*) Avvocato in Milano - Presidente dell'Osservatorio Italiano Diritto del Marketing


Semplificare sembra semplice!
L'estate porta novità importanti per la normativa sul trattamento dei dati personali. Con l'approvazione della Legge 12 luglio 2011 n. 106 (che ha convertito il legge il cosiddetto “Decreto Sviluppo” - D.L. 13 maggio 2011 n. 70) sono state introdotte significative semplificazioni in materia di privacy per ridurre l'impatto degli adempimenti a carico delle imprese. 
 
In estrema sintesi le modifiche riguardano questi aspetti:
  • a) disapplicazione della normativa in materia di dati personali ai trattamenti relativi a dati di persone giuridiche per finalità amministrative e contabili
  • b) semplificazione delle regole relative al trattamento dei curriculum inviati spontaneamente alle aziende
  • c) semplificazione degli obblighi legati alla stesura del Documento Programmatico sulla sicurezza (DPS)
  • d) estensione del regime dell'opt out agli indirizzi estratti dagli elenchi telefonici per l'invio di messaggi postali
I dettagli delle modifiche sono spiegati nel prossimo post.
Per dare un giudizio sintetico su questa riforma si può partire da un semplice dato di fatto: in Italia i confini della privacy sono estremamente mobili e si modificano con sorprendente facilità, ora restringendo lo spazio di tutela offerto all'individuo, ora allargandolo oltre misura.

Un esempio eclatante di questa tendenza è offerto dall'evoluzione delle norme che in Italia regolano il trattamento dei dati personali per finalità commerciali. Per molti anni per poter inviare messaggi indirizzati ai consumatori era richiesto il consenso espresso dell'interessato. Nel corso del tempo questo principio chiaro che rappresenta la massima forma di tutela per l'interessato, rendendo illecite tutte le attività di trattamento delle quali non è stato preventivamente informato e che ha espressamente autorizzato, ha conosciuto diverse deroghe fino a giungere all'ultima clamorosa riforma relativa all'uso dei dati presenti nell'elenco telefonico (prima i numeri di telefono e ora, con questa riforma anche gli indirizzi postali) per effettuare telefonate commerciali, ricerche di mercato o per per promuovere l'invio di materiale pubblicitario. Tale riforma ha sostanzialmente sovvertito le regole consolidate rendendo legittimo l'uso di questi dati in assenza di esplicito dissenso da parte del cittadino. Si è passati quindi da un sistema basato sull'opt in ad un meccanismo fondato sulla logica dell'opt out. Quindi chi non vuole che i suoi dati di recapito presenti in elenco telefonico siano usati per contattarlo a fini pubblicitari o commerciali ha l'onere di iscriversi nel Registro delle Opposizioni (www.registrodelleopposizioni.it).

La nuova normativa ci porta ad esaminare quale sia il modo più efficiente attraverso il quale ognuno di noi può esprimere la sua volontà rispetto al trattamento dei suoi dati. La riforma introdotta in Italia attribuisce di fatto valore legale al silenzio, intendendo che la mancata opposizione rende possibile il trattamento dei dati per svolgere attività di comunicazione commerciale. Tutto questo avviene mentre in Europa il dibattito sul ruolo che sia giusto attribuire al silenzio è molto vivo. Anche per questo le posizioni critiche rispetto alla riforma adottata in Italia sono numerose ed autorevoli.

Per dare giusto peso a queste critiche appare quanto mai necessario riequilibrare, sotto il profilo strettamente normativo, le asimmetrie esistenti nel rapporto tra cittadini-utenti ed operatori commerciali. Le nuove norme contengono disposizioni che agiscono chiaramente in favore degli operatori commerciali, mettendoli in condizione di poter utilizzare ogni dato del cittadino che risulti presente negli elenchi telefonici, mentre fa obbligo all'utente che intenda sottrarsi alle comunicazioni di marketing diretto di attivarsi iscrivendosi al registro delle opposizioni.
Peraltro la riforma approvata a luglio non sarà certamente l'ultima della serie. Anzi ci sono le premesse perché il tema sia quanto prima ancora oggetto di interventi normativi. Tanto più che entro la fine del 2011 è prevista la riforma profonda della direttiva comunitaria in materia di data protection. Sicuramente quindi il legislatore italiano dovrà tornare ad occuparsi di questi argomenti.

La riforma europea in discussione ha l'obiettivo di creare un quadro giuridico coerente e tendenzialmente uniforme tra i vari Stati Membri, tenendo conto delle dimensioni internazionali assunte dal fenomeno della circolazione dei dati e delle nuove forme di trattamento cui gli stessi possono essere sottoposti.
La linea che si sta seguendo in Europa è quella di mantenere i principi previsti dalla Direttiva del 1995, rendendoli però più dinamici e adeguati alle nuove tecnologie. In particolare chi tratta dati personali dovrà gestire questa attività come un processo da organizzare in base al principio di precauzione, per prevenire utilizzi abusivi delle informazioni trattate. I titolari del trattamento dovranno assumersi l’onere di documentare in una procedura interna tutto ciò che è necessario fare per rispettare i principi normativi per essere in grado di dimostrare di aver fatto quanto necessario per gestire in modo adeguato questa materia. La privacy futura sarà sempre di più basata su regole organizzative finalizzate a prevenire usi impropri dei dati. In questo contesto è probabile che troveranno sempre meno spazio operativo norme basate su consensi presunti e su registri pubblici delle opposizioni.

La privacy, al di là della riforma introdotta in Italia con il registro delle opposizioni, quindi è destinata ancora una volta a cambiare aspetto, accompagnando la dinamica sociale e l'evoluzione del costume. E le imprese non potranno certo fare affidamento sulle semplificazioni approvate a luglio 2011 per ridurre l'attenzione su questo tema che ogni giorno di più dimostra invece di essere sempre più essenziale per gestire in modo efficace ed equilibrato il rapporto tra aziende e consumatori.