Un esame delle novità contenute nel provvedimento del Garante Privacy del 19 giugno 2008 in materia di semplificazioni negli adempimenti formali per i trattamenti di dati personali. Informativa più semplice e comprensibile, richiesta del consenso solo se necessario, designazione degli incaricati, notifica del trattamento sono gli argomenti trattati.
Semplificazioni privacy: buone notizie per aziende ed enti pubblici
Commento ragionato al provvedimento del Garante per la protezione dei dati personali del 19 giugno 2008
Gazzetta Ufficiale n. 152 del 1 luglio 2008
di Paolo Giardini e Mauro Alovisio – luglio 2008
Finalità del provvedimento
Nell’ottica dei principi di semplificazione, armonizzazione ed efficacia indicati dall’art.2 del “Codice in materia di protezione dei dati personali” (D.lgs 196/2003) il Garante ha emesso un nuovo provvedimento per la semplificazione degli adempimenti connessi al trattamento di dati personali effettuati da aziende, enti pubblici e professionisti. Si tratta del provvedimento del 19 giugno 2008 (pubblicato sulla gazzetta ufficiale del 1 luglio 2009) e reperibile sul sito www. garanteprivacy.it.
Ambito della semplificazione
Tale provvedimento prevede una serie di semplificazioni e regole pratiche sia sotto il profilo dell’informativa privacy sia sotto quello del consenso al trattamento dei dati personali quando questo sia effettuato per l’ordinaria attività di gestione amministrativa e contabile nei casi in cui non sono trattati dati di carattere sensibile e giudiziario.
Non si tratta di vere e proprie novità in quanto già in vari provvedimenti il Garante si era espresso in questa direzione ma con questo documento si è voluto ulteriormente semplificare e snellire quelle che ormai (e purtroppo) erano diventate solo pratiche burocratiche da espletare, spesso anche con fastidio, da parte delle aziende e di coloro, siano essi altre aziende o semplici cittadini, i cui dati vengano trattati.
In pratica professionisti, PMI, artigiani, enti pubblici possono rendere anche solo oralmente una unica informativa per tutti i trattamenti effettuati quando questi siano richiesti a seguito di obblighi contrattuali, precontrattuali o normativi ed anche per lo svolgimento di correnti finalità amministrative e contabili.
L’informativa dovrà essere resa in linguaggio semplice e comprensibile (non in “burocratichese”), fornendo all’interessato le informazioni essenziali.
A tale proposito il Garante suggerisce la seguente formulazione:
Quale impatto in azienda?
Il Garante suggerisce di utilizzare gli spazi riservati alle note nelle comunicazioni commerciali (fatture, offerte ed altri documenti) per riportare l’informativa proposta. Dovranno essere predisposti in tal caso strumenti per permettere agli interessati di avere tutte le informazioni aggiornate sui trattamenti effettuati.
Ad esempio l’informativa completa potrà essere pubblicata sul sito web, su bacheche, cartelli esposti al pubblico, ecc. è necessario in questi casi che sia prevista la data dell’ultimo aggiornamento dell’informativa.
La semplificazione dell’informativa riguarda anche tutti i dati già noti all’interessato. Ad esempio gli estremi del titolare quando questi possono essere rilevati in altra parte del documento (intestazione, carta intestata).
E’ invece necessaria una informativa specifica per quei trattamenti che prevedano ulteriori forme oltre alle ordinarie esigenze amministrative e contabili, ad esempio la raccolta di dati per finalità di marketing.
Le associazioni di categoria sono chiamate a redarre delle informative tipo per settori di attività, anche in collaborazione con il Garante stesso.
Il Garante richiama inoltre l’attenzione su alcune questioni che se correttamente affrontate semplificherebbero molto gli obblighi relativi all’adeguamento alla normativa privacy permettendo alle aziende di concentrarsi di più sugli aspetti della sicurezza delle informazioni e della continuità operativa.
- La designazione degli incaricati può essere fatta evitando singoli documenti per ciascun incaricato ma mediante un unico documento riportate le caratteristiche e le modalità dei trattamenti effettuati da ciascuna unità, sempre che sia documentata l’appartenenza a detta unità dei singoli incaricati.
- La notifica va fatta solo nei casi indicati dall’art. 37 del codice, ovvero per i trattamenti relativi a dati genetici, telelocalizazione, ecc. Il d.l. 112 (del 25 giugno 2008), in attesa di conversione, semplifica ulteriormente le modalità di notifica che dovrà essere effettuata tramite il sito web del Garante.
Il consenso
Il consenso, come specificato dall’art. 24 del Codice, non è richiesto nella maggior parte dei trattamenti normalmente effettuati dalle aziende: ad esempio per eseguire obblighi derivanti da contratto del quale è parte l’interessato, quando i dati trattati siano provenienti da pubblici registri o qualora i dati trattati riguardino lo svolgimento di attività economiche.
L’attività post vendita
Infine, viene consentito alle aziende che abbiano venduto un bene o fornito un servizio l’utilizzo dei dati del cliente per l’invio sia cartaceo che via email di materiale pubblicitario nonché la possibilità di utilizzare i dati dei clienti per ricerche di mercato, purché si tratti di prodotti analoghi a quelli forniti in precedenza ed a patto che l’interessato, debitamente informato al momento della raccolta dei dati o successivamente non si opponga, nel rispetto delle garanzie in materia di profilazione degli interessati (provvedimento 245 febbraio 2005). E’ comunque obbligatorio fornire in ogni comunicazione la possibilità di opt-out, ovvero di negare il consenso al trattamento in maniera semplice (fax, telefono, email) e inviando all’interessato la conferma dell’interruzione del trattamento.
In tal modo viene colmato un vuoto e si interviene a favore dell’impresa nelle comunicazioni cartacee con i propri clienti.
Sintesi ed impatto nelle aziende
Emerge evidente la necessità di realizzare una buona analisi dei trattamenti al fine di adottare le prassi enunciate dal garante sia per non rischiare di incorrere nelle sanzioni previste sia per snellire e semplificare gli adempimenti a favore dell’azienda salvaguardando comunque i diritti e le libertà dei cittadini.
Occorrerà dunque:
- semplificare il processo attraverso un’unica informativa privacy anziché molteplici informative, senza ripetizioni o frammentazioni della stessa come invece avveniva per i singoli aspetti del rapporto con gli interessati
- produrre meno carta e meno burocrazia attraverso l’utilizzo di informative sintetiche riportate nella fattura e negli ordini, nei siti aziendali, nelle bacheche, nelle segreterie telefoniche, ricordando di inserire l’indicazione dell’ultimo aggiornamento
- dare nuovo impulso alle collaborazioni fra il Garante e le associazioni di categoria per creare informative tipo