Il D.L. n. 70/2011 (c.d. Decreto Sviluppo), convertito nella Legge 12 luglio 2011, n. 106, ha introdotto importanti modifiche alle disposizioni del Codice in materia di protezione dei dati personali. L’obiettivo è quello di allineare il Codice privacy alla Direttiva comunitaria (Direttiva 95/46/CE “relativa alla tutela delle persone fisiche con riguardo al trattamento di dati personali, nonché alla libera circolazione di tali dati”) con l’intento di semplificare gli adempimenti soprattutto alle piccole e medie imprese.
Trattamenti effettuati per finalità amministrativo-contabili
L’art. 6, comma 2, lett. a), n. 5, del Decreto Sviluppo aggiunge nell’art. 34 del Codice privacy il comma 1-ter, contenente una precisa definizione di “trattamenti effettuati per finalità amministrativo-contabili”.
Tale comma asserisce che, “ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale – assistenziale, di salute, igiene e sicurezza sul lavoro.”
Tale definizione generale, peraltro richiamata in diversi ambiti al fine di semplificare gli adempimenti di determinate tipologie di titolari del trattamento, chiarisce meglio il concetto di “trattamento effettuato per fini amministrativo-contabili” citato nel Provvedimento del Garante del 19 giugno 2008; inoltre, vi è ora maggiore certezza, tanto sulla natura dei dati trattati quanto sulle finalità che, per il fatto di non essere esplicitamente citate, non rientrano nella definizione in esame: in particolare i trattamenti effettuati, ad esempio, per attività giornalistica, per scopi di comunicazione o promozione commerciale (invio di materiale pubblicitario o comunicazioni pubblicitarie, vendita diretta, compimento di sondaggi o ricerche di mercato, utilizzo di web-cam in luoghi pubblici), di selezione del personale per conto terzi, di analisi delle abitudini o delle scelte di consumo di terzi (salvo non vi sia uno specifico accordo con l’interessato), di valutazione o monitoraggio circa la solvibilità economica, la situazione patrimoniale o il corretto adempimento di obbligazioni da parte di soggetti terzi rispetto alle proprie controparti commerciali.
Si sottolinea, tuttavia, riguardo alle attività promozionali e pubblicitarie, che il marketing diretto, disciplinato dall’art. 130 del Codice privacy e relativo alle comunicazioni indesiderate (cioè invio non richiesto di comunicazioni o materiali pubblicitari) è effettivamente esclusa dalla nozione di attività effettuata per fini amministrativo-contabili; diversamente, il marketing contrattuale, consistente nella promozione di beni o servizi previo accordo tra l’impresa e i propri clienti, può rientrare nella definizione in esame, in quanto derivante da espressi accordi contrattuali nonché consenso informato dell’interessato.
Trattamenti effettuati per finalità amministrativo-contabili: casi di esclusione dall’ambito di applicazione del Codice privacy
L’art. 6, comma 2, lett. a), n. 1, del Decreto Sviluppo introduce, inoltre, il comma 3-bis all’art. 5 del Codice privacy; “Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo – contabili, come definite all’articolo 34, comma 1-ter, non è soggetto all’applicazione del presente codice.”
Trattasi di un’esplicita esclusione che mira a semplificare la burocrazia inerente trattamenti senza rischi specifici, relativi a ordinari rapporti di natura economica tra imprese e per i quali non vi sono particolari aspetti da tutelare.
Tale esclusione dall’ambito di applicazione del Codice Privacy è quindi opponibile in presenza delle seguenti condizioni:
- il trattamento deve avvenire esclusivamente nell’ambito di ordinari rapporti tra persone giuridiche, imprese, enti o associazioni (rientrano ad esempio i rapporti tra committenti e appaltatori, appaltatori e subcontraenti, clienti e fornitori);
- i dati oggetto di trattamento devono essere relativi alla persona giuridica, impresa, ente o associazione;
- il trattamento deve essere effettuato per finalità amministrativo-contabili.
Sotto queste condizioni, gli adempimenti privacy non più necessari sono:
a) obblighi di informativa e consenso di cui agli artt. 13, 23 e seguenti del Codice privacy;
b) eventuali nomine dei responsabili del trattamento di cui art. 29 del Codice;
c) adozione delle misure di sicurezza di cui agli artt. 33 e seguenti del Codice e al Disciplinare Tecnico contenuto nell’Allegato B) al Codice (ad esempio i sistemi di autenticazione informatica, i sistemi di autorizzazione, le procedure di backup e di recovery dei dati e dei sistemi, i programmi antivirus e firewall).
Diversamente, permangono nell’ambito di applicazione della normativa privacy tutte le situazioni di trattamento per finalità amministrativo-contabile in cui:
- il titolare del trattamento o l’interessato è una persona fisica.
- il trattamento, seppur effettuato nell’ambito di rapporti tra persone giuridiche, imprese, enti o associazioni, persegue finalità diverse da quelle amministrativo-contabili, che può quindi comportare particolari rischi (come ad esempio il marketing diretto, i sondaggi e le ricerche di mercato).
Comunicazioni dei dati effettuate nell’ambito di gruppi o di forme organizzate di esercizio dell’attività d’impresa: esonero dal consenso
L’art. 6, comma 2, lett. a), n. 3, del Decreto Sviluppo integra l’art. 24 del Codice privacy aggiungendo una nuova lettera i-ter): l’esonero del consenso può avvenire anche quando il trattamento “con esclusione della diffusione e fatto salvo quanto previsto dall’articolo 130 del presente codice, riguarda la comunicazione di dati tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell’articolo 2359 del codice civile ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti, per le finalità amministrativo contabili, come definite all’articolo 34, comma 1-ter, e purché queste finalità siano previste espressamente con determinazione resa nota agli interessati all’atto dell’informativa di cui all’articolo 13.”
Il Decreto Sviluppo, in coerenza con la suddetta modifica, snellisce anche la lett. g) dell’art. 24 del Codice Privacy, che prevede l’esonero del consenso quando il trattamento “con esclusione della diffusione, è necessario, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell’interessato”
La modifica, in particolare, ha eliminato il riferimento “alle attività di gruppi bancari e di società controllate o collegate” ; poiché ad oggi, con riferimento ai gruppi, il Garante non ha ancora provveduto a fornire alcuna delega, l’intervento sulla norma semplifica la circolazione delle informazioni e i trattamenti di dati non sensibili, per esigenze organizzative o gestionali interne, nell’ambito di gruppi di imprese, non essendo più necessario il consenso dei soggetti interessati.
Poiché la nuova lett. i-ter) dell’art. 24 del Codice privacy ha un ambito operativo autonomo rispetto al nuovo comma 3-bis dell’art. 5 del Codice riguardante l’esclusione dall’ambito di applicazione del Codice stesso, l’esonero dal consenso è possibile qualora titolare del trattamento e destinatario della comunicazione siano società, imprese, enti o associazioni, mentre l’interessato può essere tanto una persona fisica quanto una persona giuridica (impresa, ente o associazione), diversa, tuttavia, dai soggetti tra cui avviene la comunicazione.
Autocertificazione sostitutiva del Documento Programmatico sulla Sicurezza (DPS)
L’art. 6, comma 2, lett. a), n. 5, del Decreto Sviluppo sostituisce il comma 1-bis, dell’art. 34, del Codice privacy (introdotto dall’art. 29 del D.L. n. 112/2008, convertito nella legge n. 133/2008), Il nuovo comma 1-bis ora recita:“Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’ articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell’allegato B). In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrativo-contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l’innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all’adozione delle misure minime di cui al comma 1”
In tal modo risulta ampliata la portata applicativa della norma in esame e vengono fornite maggiori certezze sotto vari aspetti.
Il “vecchio” comma 1-bis, infatti, rispetto alla nuova disciplina, aveva evidenti differenze (con conseguenze anche sull’interpretazione della norma stessa). Per poter redigere l’Autocertificazione in sostituzione del Documento Programmatico sulla Sicurezza, dovevano verificarsi le seguenti situazioni:
a) i dati dei dipendenti e collaboratori, quando sensibili, dovevano riguardare solo aspetti inerenti lo stato di salute o l’appartenenza a determinate associazioni sindacali (la nuova norma, invece, menziona solo “dati sensibili” in generale e quindi secondo la definizione completa fornita dal Codice privacy)
b) quanto ai dati dei dipendenti e collaboratori non venivano menzionati quelli di tipo giudiziario (la nuova norma, invece, li cita esplicitamente)
c) quanto ai dati trattati, così come individuati ai punti precedenti, non veniva specificata l’estensione ai lavoratori extracomunitari, ai coniugi e ai parenti dei dipendenti e collaboratori (la nuova norma, invece, ne fornisce un’indicazione esplicita)
d) quanto alle misure di sicurezza da adottare, e da dichiarare nell’autocertificazione, si faceva riferimento genericamente alle “altre misure di sicurezza prescritte” e quindi a tutte le idonee e preventive misure di cui all’art. 31 del Codice Privacy (la nuova norma, invece. richiama nello specifico le misure di sicurezza minime di cui all’art. 34 del Codice).
Il nuovo comma 1-bis dell’art. 34 del Codice privacy, quindi, consente ai titolari del trattamento di redigere l’Autocertificazione (in luogo del DPS) nei casi di trattamento con strumenti elettronici di dati, comuni, sensibili e giudiziari, limitatamente, tuttavia, alla gestione del rapporto di lavoro.
Rimandando all’art. 47 e all’art. 76 del Testo Unico in materia di documentazione amministrativa e al D.P.R. n. 445 del 2000 quanto a contenuti, forme e responsabilità penale per false dichiarazioni nell’autocertificazione, questa deve in definitiva attestare che il titolare del trattamento in questione tratta dati personali comuni e dati sensibili e giudiziari legati solo alla gestione del rapporto di lavoro, in osservanza delle misure minime di sicurezza previste dal Codice Privacy (D. Lgs. 196 del 30 giugno 2003) e dal disciplinare tecnico (Allegato B al Codice).
Curriculum vitae spontaneamente inviati: informativa e consenso
L’art. 6, comma 2, lett. a), n. 2, del Decreto Sviluppo aggiunge un nuovo comma 5-bis all’art. 13 del Codice privacy, con il seguente contenuto: “L’informativa di cui al comma 1 non è dovuta in caso di ricezione di curriculum spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro. Al momento del primo contatto successivo all’invio del curriculum, il titolare è tenuto a fornire all’interessato, anche oralmente, una informativa breve contenente almeno gli elementi di cui al comma 1, lettere a), d) ed f)”.
In tema di curriculum per fini occupazionali, quindi, un’informativa è necessaria, anche in forma semplificata, solo nel momento in cui il potenziale datore di lavoro ha l’interesse a contattare il candidato e trattare i suoi dati personali.
L’art. 6, co. 2, lett. a), n. 3 e 4, del Decreto Sviluppo modifica, in tema di consenso, anche gli artt. 24 e 26 del Codice privacy, aggiungendo:
- all’art. 24 la lett. i-bis): l’esonero del consenso opera anche quando “il trattamento riguarda dati contenuti nei curriculum, nei casi di cui all’articolo 13, comma 5-bis”;
- all’art. 26 la lett. b-bis): l’esonero del consenso opera anche quando il trattamento riguarda dati sensibili, oltre che comuni,“contenuti nei curriculum, nei casi di cui all’articolo 13, comma 5-bis.
Marketing mediante posta cartacea: estensione del regime dell’opt-out
L’art. 6, comma 2, lett. a), n. 6, del Decreto Sviluppo modifica l’art. 130, comma 3-bis del Codice privacy (aggiunto recentemente dall’art. 20-bis della L. 166/2009, di conversione del D.L. n. 135/2009): “In deroga a quanto previsto dall’articolo 129, il trattamento dei dati di cui all’articolo 129, comma 1, mediante l’impiego del telefono e della posta cartacea per le finalità di cui all’articolo 7, comma 4, lettera b), è consentito nei confronti di chi non abbia esercitato il diritto di opposizione, con modalità semplificate e anche in via telematica, mediante l’iscrizione della numerazione della quale è intestatario e degli altri dati personali di cui all’articolo 129, comma 1 in un registro pubblico delle opposizioni.”
La norma in questione, quindi, introduce il regime dell’opt-out sia per le chiamate telefoniche a fini commerciali – telemarketing – sia (dopo l’ultima modifica) per le attività promozionali effettuate mediante l’impiego della posta cartacea. In altri termini, le imprese possono utilizzare gli indirizzi rinvenuti negli elenchi telefonici pubblici per avviare, attività pubblicitarie e promozionali mediante posta cartacea a meno che l’interessato destinatario della comunicazione non abbia negato il proprio consenso iscrivendosi al Registro pubblico delle opposizioni.