IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente,
del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del
dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli,
segretario generale;
Visto il Codice in materia di protezione dei dati personali (d. lg. 30 giugno
2003, n. 196) e ritenuta l'opportunità di promuovere alcune misure di
semplificazione per l'intero settore pubblico e privato in relazione alle
correnti attività amministrative e contabili, in particolare nei riguardi di
piccole e medie imprese, liberi professionisti e artigiani;
Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15
del regolamento del Garante n. 1/2000;
Relatore il prof. Francesco Pizzetti;
PREMESSO
1. Esigenze alla base di nuove misure di semplificazione
Presso vari operatori si avverte l'esigenza di alcune semplificazioni
nell'applicazione della disciplina sulla protezione dei dati personali.
La riflessione in ambito pubblico e privato è avvertita in modo particolare
presso piccole e medie imprese, liberi professionisti e artigiani, per quanto
riguarda la gestione di informazioni attinenti ad altre imprese,
amministrazioni, clienti, fornitori e dipendenti utilizzate, anche in relazione
a obblighi contrattuali e normativi, per correnti finalità amministrative e
contabili.
Sulla base dell'esperienza acquisita in materia vengono prospettate alcune
criticità rispetto a determinate modalità per adempiere a obblighi di legge o
derivanti da un contratto, avvertite come troppo onerose in rapporto alle
garanzie per gli interessati.
Il Garante ha completato un'analisi approfondita della problematica. In
aggiunta alle misure di semplificazione disposte con decisioni per casi
specifici, l'Autorità ha intrapreso varie iniziative, anche sulla base di un
dialogo con le categorie interessate, che ha già comportato l'approvazione di
un provvedimento di carattere generale ("Guida pratica e misure di
semplificazione per le piccole e medie imprese", Provv. 24 maggio 2007, n.
21, in G.U. 21 giugno 2007, n. 142 e doc. web n. 1412271).
Dall'istruttoria sono emerse tre valutazioni di fondo:
a) alcune modalità applicative, seguite soprattutto presso piccole imprese,
liberi professionisti e artigiani, sono ancora basate su approcci prettamente
burocratici e di ordine puramente formale. Istituti posti a garanzia degli
interessati vengono banalizzati in contrasto con lo spirito del Codice che
intende assicurare una protezione elevata dei diritti e delle libertà
fondamentali "nel rispetto dei princìpi di semplificazione, armonizzazione
ed efficacia" (art. 2, comma 2). Da tali prassi conseguono adempimenti
superflui o ripetuti inutilmente, talvolta anche per effetto di erronee
valutazioni fornite in sede di consulenza, con oneri organizzativi da cui non
deriva un reale valore aggiunto ai fini della correttezza e della trasparenza
del trattamento e che gli interessati avvertono con disinteresse o fastidio;
b) è possibile apportare ulteriori semplificazioni (in particolare per
agevolare la corrente attività gestionale di organismi pubblici e privati di
ridotte dimensioni), in aggiunta a quelle già introdotte per legge o da questa
Autorità e in armonia con la disciplina complessiva, anche comunitaria, della
materia, salvaguardando i diritti e le libertà fondamentali dei cittadini;
c) la protezione dei dati personali può rappresentare una risorsa, anche per
piccole e medie imprese, rendere più efficiente l'attività gestionale e
incrementare la fiducia degli interessati.
L'Autorità intende fornire un suo nuovo contributo in materia esercitando le
attribuzioni che le sono conferite per legge.
Con il presente provvedimento sono pertanto individuate soluzioni concrete
volte ad agevolare ulteriormente l'ordinaria attività di gestione
amministrativa e contabile, in modo particolare rispetto ai casi in cui non sono
trattati dati di carattere sensibile o giudiziario. Di seguito, vengono quindi
enunciate nuove linee guida-interpretative della normativa vigente e sono
individuate alcune modalità innovative per semplificare taluni adempimenti, in
modo particolare per l'informativa agli interessati e il consenso.
2. L'informativa agli interessati
Diverse realtà, specie imprenditoriali di piccole e medie dimensioni,
trattano dati, anche in relazione a obblighi contrattuali, precontrattuali o di
legge, esclusivamente per finalità di ordine amministrativo e contabile
(gestione di ordinativi, buste paga e di ordinaria corrispondenza con clienti,
fornitori, realtà esterne di supporto anche in outsourcing, dipendenti);
spesso, ciò accade in relazione a informazioni che non hanno carattere
sensibile o giudiziario.
Alcune tra le criticità menzionate riguardano le modalità con cui
l'informativa è fornita per iscritto, anziché oralmente (art. 13). Sono stati
formati spesso moduli lunghi e burocratici, privi di comunicatività e basati
sull'eccessivo uso di espressioni prettamente giuridiche, inidonee a far
comprendere le caratteristiche principali del trattamento. Alla mancanza di
chiarezza si è sommata l'inutile ripetizione dell'informativa in occasione di
ciascun contatto con gli interessati, frazionando le spiegazioni che andrebbero
invece fornite in modo organico e possibilmente unitario.
Il Garante intende prescrivere a tutti i titolari in ambito privato e
pubblico alcune misure opportune e formulare indicazioni per semplificare
l'informativa nei termini di cui al seguente dispositivo (artt. 2, comma 2, 13,
commi 3 e 5 e 154, comma 1, lett. c)).
3. Il consenso
Il Garante, con riferimento al consenso (art. 23), considerati i princìpi di
efficacia e proporzionalità e in relazione agli artt. 2, 18, 24 comma 1 e 154,
comma 1, lett. c), del Codice, intende anche prescrivere a tutti i titolari del
trattamento pubblici e privati alcune misure opportune affinché non richiedano
il consenso nei vari casi in cui esso non deve essere richiesto (dai soggetti
pubblici) o è superfluo (per i soggetti privati). Ciò, in particolare, quando:
a) il trattamento dei dati in ambito privato è svolto per adempiere a
obblighi contrattuali o normativi o, comunque, per ordinarie finalità
amministrative e contabili;
b) i dati trattati provengono da pubblici registri ed elenchi pubblici
conoscibili da chiunque o sono relativi allo svolgimento di attività economiche
dell'interessato (v., per i presupposti relativi a ciascuno dei predetti casi,
l'art. 24, comma 1; v. anche l'art. 18, comma 4).
Il Garante, in applicazione dell'istituto del bilanciamento degli interessi
(art. 24, comma 1, lett. g)) intende anche individuare un'ulteriore ipotesi
nella quale il consenso non va richiesto.
Il titolare del trattamento che abbia già venduto un prodotto o prestato un
servizio a un interessato, nel quadro dello svolgimento di ordinarie finalità
amministrative e contabili, potrà utilizzare nei termini di cui al seguente
dispositivo i recapiti (oltre che di posta elettronica, come già previsto per
legge: art. 130, comma 4) di posta cartacea forniti dall'interessato medesimo,
per inviare ulteriore suo materiale pubblicitario o promuovere una sua vendita
diretta o per compiere sue ricerche di mercato o di comunicazione commerciale.
Tale bilanciamento degli interessi considera le difficoltà rappresentate da
alcuni operatori economici nel conservare un proprio diretto "canale
comunicativo" con i soggetti con i quali abbiano già instaurato un
rapporto contrattuale; tiene al tempo stesso conto del diritto dell'interessato
a non essere disturbato mediante comunicazioni promozionali, in base a garanzie
analoghe a quelle previste, per la situazione appena indicata, per l'uso della
posta elettronica (art. 130, comma 4; v. anche, con riguardo alle comunicazioni
postali, l' art. 58, comma 2, d.lg. n. 206/2005).
Non è necessario rivolgere un'istanza al Garante per avvalersi delle
opportunità previste dal presente punto 3.
Viene infine dato atto nel seguente dispositivo di alcune altre risultanze
dell'istruttoria relative alla designazione degli incaricati del trattamento e
alla notificazione dei trattamenti.
TUTTO CIÒ PREMESSO IL GARANTE
1) ai sensi degli artt. 2, comma 2, 13, commi 3 e 5 e 154, comma 1,
lett. c), del Codice formula a tutti i titolari del trattamento in ambito
privato e pubblico, in particolare a piccole e medie imprese, liberi
professionisti, artigiani, le seguenti indicazioni per semplificare
l'informativa rispetto allo svolgimento di correnti finalità amministrative e
contabili, anche in relazione all'adempimento di obblighi contrattuali,
precontrattuali o normativi. Detti soggetti possono:
a) fornire un'unica informativa per il complesso dei trattamenti,
anziché per singoli aspetti del rapporto con gli interessati;
b) fornire a questi ultimi una ricostruzione organica dei trattamenti e
con linguaggio semplice, senza frammentarla o reiterarla inutilmente;
c) indicare le informazioni essenziali in un quadro adeguato di lealtà
e correttezza;
d) redigere, per quanto possibile, una prima informativa breve.
All'interessato, anche oralmente, andrebbero indicate sinteticamente alcune
prime notizie chiarendo subito, con immediatezza, le principali caratteristiche
del trattamento. In linea di massima l'informativa breve, quando è scritta,
può avere la seguente formulazione:
"I SUOI DATI PERSONALI
Utilizziamo -anche tramite collaboratori esterni- i dati che la riguardano
esclusivamente per nostre finalità amministrative e contabili, anche quando li
comunichiamo a terzi. Informazioni dettagliate, anche in ordine al suo diritto
di accesso e agli altri suoi diritti, sono riportate su...";
e) per l'informativa, specie per quella breve, si possono utilizzare gli
spazi utili nel materiale cartaceo e nella corrispondenza che si impiegano già,
ordinariamente, per finalità amministrative e contabili;
f) l'informativa breve può rinviare a un testo più articolato,
disponibile agevolmente senza oneri per gli interessati, in luoghi e con
modalità facilmente accessibili anche con strumenti informatici e telematici
(in particolare, tramite reti Intranet o siti Internet, affissioni in bacheche o
locali, avvisi e cartelli agli sportelli per la clientela, messaggi
preregistrati disponibili digitando un numero telefonico gratuito).
Anche questa più ampia informativa deve essere improntata a correttezza,
tenendo conto di possibili modifiche del trattamento, ed essere basata su
espressioni sintetiche, chiare e comprensibili. Le notizie da indicare per legge
(art. 13, comma 1) devono essere aggiornate, specificando la data dell'ultimo
aggiornamento;
g) è possibile non inserire nell'informativa più articolata gli
elementi noti all'interessato (art. 13, commi 2 e 4). E' opportuno omettere
riferimenti meramente burocratici o circostanze ovvie, per esempio quando alcune
informazioni, compresi gli estremi identificativi del titolare, risultano da
altre parti del documento in cui è presente l'informativa. Vanno utilizzate
espressioni efficaci, anche se sintetiche, anche per quanto riguarda i diritti
degli interessati e l'organismo o soggetto al quale rivolgersi per esercitarli.
Se è prevista la raccolta di dati presso terzi è possibile formulare una sola
informativa per i dati forniti direttamente dall'interessato e per quelli che
saranno acquisiti presso terzi. Per questi ultimi dati, l'informativa può non
essere fornita quando vi è un obbligo normativo di trattarli (art. 13, comma
5);
h) è opportuno che l'informativa più articolata sia basata su uno
schema tendenzialmente uniforme per il settore di attività del titolare del
trattamento;
i) è invece necessario fornire un'informativa specifica o ad hoc quando
il trattamento ha caratteristiche del tutto particolari perché coinvolge, ad
esempio, peculiari informazioni (es. dati genetici) o prevede forme inusuali di
utilizzazione di dati, specie sensibili, rispetto alle ordinarie esigenze
amministrative e contabili, o può comportare rischi specifici per gli
interessati (ad esempio, rispetto a determinate forme di uso di dati biometrici
o di controllo delle attività dei lavoratori). Se il titolare del trattamento
è un soggetto pubblico devono essere inserite le indicazioni che la legge
prevede per i dati sensibili e giudiziari;
2) invita le associazioni di categoria a predisporre informative-tipo per
determinati settori o categorie di trattamento, anche in collaborazione con
questa Autorità. Il Garante si riserva in questo quadro di porre a disposizione
gratuita (chiedendo anche la collaborazione delle camere di commercio), un kit
contenente concrete istruzioni e fac-simile per semplificare tutti gli
adempimenti in materia;
3) richiama l'attenzione dei titolari del trattamento sulla circostanza che
la designazione degli incaricati del trattamento può avvenire in modo
semplificato evitando singoli atti circostanziati relativi distintamente a
ciascun incaricato, individuando i trattamenti di dati e le relative modalità
che sono consentiti all'unità cui sono addetti gli incaricati stessi (art. 30);
4) richiama l'attenzione dei titolari del trattamento sulla circostanza che,
per effetto delle previsioni del Codice e delle determinazioni già adottate da
questa Autorità, la notificazione telematica al Garante non è necessaria per
perseguire finalità amministrative e contabili, salvo che per eventuali casi
eccezionali indicati per legge (art. 37);
5) ai sensi degli artt. 2, comma 2, 24 e 154, comma 1, lett. c), del
Codice invita tutti i titolari del trattamento pubblici e privati a non chiedere
il consenso degli interessati quando il trattamento dei dati è svolto, anche in
relazione all'adempimento di obblighi contrattuali, precontrattuali o normativi,
esclusivamente per correnti finalità amministrative e contabili, nonché quando
i dati provengono da pubblici registri ed elenchi pubblici conoscibili da
chiunque, o sono relativi allo svolgimento di attività economiche o sono
trattati da un soggetto pubblico;
6) in applicazione del principio del bilanciamento degli interessi (art.
24, comma 1, lett. g)), dispone che i titolari del trattamento in ambito privato
che hanno venduto un prodotto o prestato un servizio, nel quadro del
perseguimento di ordinarie finalità amministrative e contabili, possono
utilizzare senza il consenso i recapiti (oltre che di posta elettronica come
già previsto per legge) di posta cartacea forniti dall'interessato, ai fini
dell'invio diretto di proprio materiale pubblicitario o di propria vendita
diretta o per il compimento di proprie ricerche di mercato o di comunicazione
commerciale. Ciò, rispettando anche le garanzie previste per le attività di
profilazione degli interessati (Provv. 24 febbraio 2005, doc. web
n. 1103045), a condizione che:
a) tale attività promozionale riguardi beni e servizi del medesimo
titolare e analoghi a quelli oggetto della vendita;
b) l'interessato, al momento della raccolta e in occasione dell'invio di
ogni comunicazione effettuata per le menzionate finalità, sia informato della
possibilità di opporsi in ogni momento al trattamento, in maniera agevole e
gratuitamente, anche mediante l'utilizzo della posta elettronica o del fax o del
telefono e di ottenere un immediato riscontro che confermi l'interruzione di
tale trattamento (art. 7, comma 4);
c) l'interessato medesimo, così adeguatamente informato già prima
dell'instaurazione del rapporto, non si opponga a tale uso, inizialmente o in
occasione di successive comunicazioni;
7) dispone che copia del presente provvedimento sia trasmessa al
Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua
pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana, nonché alle
associazioni di categoria, ai ministeri interessati e alle camere di commercio.
Roma, 19 giugno 2008
IL PRESIDENTE
Pizzetti
IL RELATORE
Pizzetti
IL SEGRETARIO GENERALE
Buttarelli
|