Avv. Alessandra Delli Ponti
Il Garante della privacy ha predisposto una “Guida” per le piccole e medie imprese (PMI) al fine di aiutarle nell’adeguarsi alla normativa sulla privacy.
La Guida, realizzata sotto forma di FAQ (Frequently Asked Questions), cioè di “domande e risposte”, intende fornire a chi opera nella realtà delle medie e piccole imprese uno strumento utile per curare gli adempimenti derivanti dalla normativa vigente, indicando le soluzioni semplificate a disposizione. La Guida è completata da una check list relativa i principali adempimenti richiesti dal Codice privacy.
Questo, in breve, quanto previsto dal Garante.
1. I soggetti che effettuano il trattamento
La Guida precisa che il titolare del trattamento può essere la persona fisica o giuridica che tratta i dati. Diverso è il responsabile del trattamento che deve essere designato con atto scritto.
Potrà essere designato responsabile un dirigente di funzioni aziendali interno all’azienda, ma tale figura è del tutto facoltativa. Potranno poi essere nominati responsabili esterni all’impresa il commercialista o i consulenti del lavoro.
Anche i dipendenti hanno un loro inquadramento: incaricati del trattamento. E la loro designazione iin quanto tali può derivare anche dall’assegnazione a un ufficio per il quale è precisato l’ambito di trattamento in un organigramma, contratto o mansionario.
2. La notificazione del trattamento
Importante la precisazione contenuta nella Guida per cui in linea di principio i trattamenti ordinaria svolti presso piccole realtà produttive non vanno notificati. Tipico esempio è quello dei dati relativi a clienti e fornitori o ai dipendenti.
In sostanza i soli casi soggetti a notifica sono quelli previsti all’articolo 37 del Codice privacy. Per le imprese, quindi, i trattamenti soggetti a notificazione sono quelli relativi a:
– dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti, non rientrano in quest’ambito, i dati relativi agli inadempimenti dei propri clienti tenuti da ciascuna impresa.
– dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica (ad esempio, dati trattati mediante sistemi di geolocalizzazione installati su veicoli al fine di individuarne la posizione);
– dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo (c.d. profilazione), ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;
– dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi (non, quindi, quelli trattati direttamente dall’imprenditore), nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie.
3. L’informativa
L’informativa agli interessati non va ripetuta ad ogni contatto:è sufficiente fornirla con una formula generale una tantum all’inizio del rapporto.
Via libera all’utilizzo di spazi all’interno dell’ordinario materiale cartaceo (contratti) e della corrispondenza.
Si può procedere al trattamento omettendo l’informativa se i dati sono trattati:
– in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;
– ai fini dello svolgimento delle investigazioni difensive (legge 7 dicembre 2000, n. 397) o per far valere o difendere un diritto in sede giudiziaria.
A tale regola generale faranno eccezione i trattamenti particolari di dati estremamente delicati, come viedosorveglianza e dati biometrici.
4. Il consenso dell’interessato
Il Codice della privacy prevede svariate ipotesi in cui il trattamento di dati personali (non sensibili) può avvenire a prescindere dal consenso dell’interessato (art. 24 Codice Privacy). Di tale ipotesi molte trovano applicazione alle imprese.
In particolare non è necessario il consenso per l’attività contrattuale, per gli obblighi di legge, per il trattamento di dati provenienti da elenchi pubblici, dati per lo svolgimento di attività economiche.
5. La sicurezza dei dati
Il Garante conferma il proprio orientamento per cui il Documento Programmatico sulla sicurezza DPS è richiesto solo in caso di trattamento di dati sensibili e giudiziari attraverso sistemi informatici.
6. Il trasferimento dei dati in paesi terzi
Il trasferimento di dati all’estero è ammesso non solo quando c’è il consenso dell’interessato, ma anche quando è necessario per l’esecuzione di obblighi contrattuali o pre-contrattuali.
7. I doveri del titolare del trattamento in caso di esercizio dei diritti degli interessati ai sensi dell’art. 7 del codice
Se l’interessato esercita il suo diritto di accesso ai dati o agli altri diritti di cui all’articolo 7 del Codice (rettifica, cancellazione, aggiornamento, integrazione) l’imprenditore ha 15 giorni per rispondere se non lo fa l’interessato può adire all’autorità giudiziaria o al Garante.
***
A conclusione di tale illustrazione si consentano alcune considerazioni generali sul provvedimento del Garante.
A parere di chi scrive il provvedimento manca di una premessa fondamentale:
chi sono le piccole e medie imprese?
La normativa comunitaria, definisce in modo puntuale le microimprese, le piccole e le medie imprese in funzione del loro organico e del loro fatturato ovvero del loro bilancio totale annuale (Raccomandazione 2003/361 della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese, testo integrale dell’atto (2003/361/CE)).
In particolare:
– media impresa è definita come un’impresa il cui organico sia inferiore a 250 persone e il cui fatturato non superi 50 milioni di euro o il cui totale di bilancio annuale non sia superiore a 43 milioni di euro;
– piccola impresa è definita come un’impresa il cui organico sia inferiore a 50 persone e il cui fatturato o il totale del bilancio annuale non superi 10 milioni di euro;
– microimpresa è definita come un’impresa il cui organico sia inferiore a 10 persone e il cui fatturato o il totale di bilancio annuale non superi 2 milioni di euro.
Se da una parte trattandosi di normativa sulla privacy i criteri indicati dalla Commissione Europea potrebbero non essere adeguati, sostituendoli con altri come la tipologia dei dati trattati all’interno dell’impresa, dall’altra l’applicabilità di tali criteri appare la soluzione più logica.
Questo in considerazione sia della precisione dei criteri forniti dalla Commissione sia della loro applicazione unanime a tutti i settori di diritto. Recentemente, poi, il disegno di legge sulle liberalizzazione esclude dagli obblighi sulle misure di sicurezza proprio le microimprese, riferendosi alle definizioni comunitarie, con riferimento ai dati trattabili senza il consenso nell’ambito dell’ordinaria gestione amministrativa e contabile dell’azienda.
Circa i contenuti della “Guida”, come sopra precisato, si tratta di una sorta di vademecum per le imprese, in cui tuttavia il Garante non ha fatto altro che riassumere gli adempimenti più salienti della normativa in materia di privacy andando a specificare i punti principali e gli adempimenti obbligatori previsti dal decreto legislativo n. 196/2003, cercando di dipanare elementi di dubbio e confusione.
Niente di nuovo dunque?
Di fatto no trattandosi di elementi contenuti in una norma che risale al 2003 e alcuni dei quali già oggetto di precisazioni del Garante stesso, ma sicuramente un documento che risponde alle esigenze di molte realtà.
La privacy, infatti, non è ancora stata “digerita” nelle imprese, anche a seguito di informazioni inesatte, favole metropolitane che vanno diffondendosi per creare panico e genere costi nelle imprese, quando in realtà con opportuni accorgimenti e procedure interne si potrebbe evitare di incorrere in sanzioni amministrative o illeciti penali.
Il Garante con la “Guida” ha cercato di porre rimedio ai danni provocati da informazioni e notizie non corrette.
Non resta che sperare, quindi, che il provvedimento del Garante riesca a porre fine a tanti errori di interpretazione della normativa che hanno portato a inutili appesantimenti degli adempimenti, con conseguenti inutili dispendi di tempo e costi. Primo fra tutti l’inutile circolazione di informative di clienti e fornitori alla ricerca del consenso, che speriamo sia ora solo un brutto vecchio ricordo! (Alessandra Delli Ponti per NL)
