Casa:
Semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrative e contabili
Pubblicata il 04/07/2008
- Leggi la sentenza integrale -
Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;
Visto il Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196) e ritenuta l'opportunità di promuovere alcune misure di semplificazione per l'intero settore pubblico e privato in relazione alle correnti attività amministrative e contabili, in particolare nei riguardi di piccole e medie imprese, liberi professionisti e artigiani;
Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il prof. Francesco Pizzetti;
PREMESSO
1. Esigenze alla base di nuove misure di semplificazione
Presso vari operatori si avverte l'esigenza di alcune semplificazioni nell'applicazione della disciplina sulla protezione dei dati personali.
La riflessione in ambito pubblico e privato è avvertita in modo particolare presso piccole e medie imprese, liberi professionisti e artigiani, per quanto riguarda la gestione di informazioni attinenti ad altre imprese, amministrazioni, clienti, fornitori e dipendenti utilizzate, anche in relazione a obblighi contrattuali e normativi, per correnti finalità amministrative e contabili.
Sulla base dell'esperienza acquisita in materia vengono prospettate alcune criticità rispetto a determinate modalità per adempiere a obblighi di legge o derivanti da un contratto, avvertite come troppo onerose in rapporto alle garanzie per gli interessati.
Il Garante ha completato un'analisi approfondita della problematica. In aggiunta alle misure di semplificazione disposte con decisioni per casi specifici, l'Autorità ha intrapreso varie iniziative, anche sulla base di un dialogo con le categorie interessate, che ha già comportato l'approvazione di un provvedimento di carattere generale ("Guida pratica e misure di semplificazione per le piccole e medie imprese", Provv. 24 maggio 2007, n. 21, in G.U. 21 giugno 2007, n. 142 e doc. web n. 1412271).
Dall'istruttoria sono emerse tre valutazioni di fondo:
a) alcune modalità applicative, seguite soprattutto presso piccole imprese, liberi professionisti e artigiani, sono ancora basate su approcci prettamente burocratici e di ordine puramente formale. Istituti posti a garanzia degli interessati vengono banalizzati in contrasto con lo spirito del Codice che intende assicurare una protezione elevata dei diritti e delle libertà fondamentali "nel rispetto dei princìpi di semplificazione, armonizzazione ed efficacia" (art. 2, comma 2). Da tali prassi conseguono adempimenti superflui o ripetuti inutilmente, talvolta anche per effetto di erronee valutazioni fornite in sede di consulenza, con oneri organizzativi da cui non deriva un reale valore aggiunto ai fini della correttezza e della trasparenza del trattamento e che gli interessati avvertono con disinteresse o fastidio;
b) è possibile apportare ulteriori semplificazioni (in particolare per agevolare la corrente attività gestionale di organismi pubblici e privati di ridotte dimensioni), in aggiunta a quelle già introdotte per legge o da questa Autorità e in armonia con la disciplina complessiva, anche comunitaria, della materia, salvaguardando i diritti e le libertà fondamentali dei cittadini;
c) la protezione dei dati personali può rappresentare una risorsa, anche per piccole e medie imprese, rendere più efficiente l'attività gestionale e incrementare la fiducia degli interessati.
L'Autorità intende fornire un suo nuovo contributo in materia esercitando le attribuzioni che le sono conferite per legge.
Con il presente provvedimento sono pertanto individuate soluzioni concrete volte ad agevolare ulteriormente l'ordinaria attività di gestione amministrativa e contabile, in modo particolare rispetto ai casi in cui non sono trattati dati di carattere sensibile o giudiziario. Di seguito, vengono quindi enunciate nuove linee guida-interpretative della normativa vigente e sono individuate alcune modalità innovative per semplificare taluni adempimenti, in modo particolare per l'informativa agli interessati e il consenso.
2. L'informativa agli interessati
Diverse realtà, specie imprenditoriali di piccole e medie dimensioni, trattano dati, anche in relazione a obblighi contrattuali, precontrattuali o di legge, esclusivamente per finalità di ordine amministrativo e contabile (gestione di ordinativi, buste paga e di ordinaria corrispondenza con clienti, fornitori, realtà esterne di supporto anche in outsourcing, dipendenti); spesso, ciò accade in relazione a informazioni che non hanno carattere sensibile o giudiziario.
Alcune tra le criticità menzionate riguardano le modalità con cui l'informativa è fornita per iscritto, anziché oralmente (art. 13). Sono stati formati spesso moduli lunghi e burocratici, privi di comunicatività e basati sull'eccessivo uso di espressioni prettamente giuridiche, inidonee a far comprendere le caratteristiche principali del trattamento. Alla mancanza di chiarezza si è sommata l'inutile ripetizione dell'informativa in occasione di ciascun contatto con gli interessati, frazionando le spiegazioni che andrebbero invece fornite in modo organico e possibilmente unitario.
Il Garante intende prescrivere a tutti i titolari in ambito privato e pubblico alcune misure opportune e formulare indicazioni per semplificare l'informativa nei termini di cui al seguente dispositivo (artt. 2, comma 2, 13, commi 3 e 5 e 154, comma 1, lett. c)).
3. Il consenso
Il Garante, con riferimento al consenso (art. 23), considerati i princìpi di efficacia e proporzionalità e in relazione agli artt. 2, 18, 24 comma 1 e 154, comma 1, lett. c), del Codice, intende anche prescrivere a tutti i titolari del trattamento pubblici e privati alcune misure opportune affinché non richiedano il consenso nei vari casi in cui esso non deve essere richiesto (dai soggetti pubblici) o è superfluo (per i soggetti privati). Ciò, in particolare, quando:
a) il trattamento dei dati in ambito privato è svolto per adempiere a obblighi contrattuali o normativi o, comunque, per ordinarie finalità amministrative e contabili;
b) i dati trattati provengono da pubblici registri ed elenchi pubblici conoscibili da chiunque o sono relativi allo svolgimento di attività economiche dell'interessato (v., per i presupposti relativi a ciascuno dei predetti casi, l'art. 24, comma 1; v. anche l'art. 18, comma 4).
Il Garante, in applicazione dell'istituto del bilanciamento degli interessi (art. 24, comma 1, lett. g)) intende anche individuare un'ulteriore ipotesi nella quale il consenso non va richiesto.
Il titolare del trattamento che abbia già venduto un prodotto o prestato un servizio a un interessato, nel quadro dello svolgimento di ordinarie finalità amministrative e contabili, potrà utilizzare nei termini di cui al seguente dispositivo i recapiti (oltre che di posta elettronica, come già previsto per legge: art. 130, comma 4) di posta cartacea forniti dall'interessato medesimo, per inviare ulteriore suo materiale pubblicitario o promuovere una sua vendita diretta o per compiere sue ricerche di mercato o di comunicazione commerciale.
Tale bilanciamento degli interessi considera le difficoltà rappresentate da alcuni operatori economici nel conservare un proprio diretto "canale comunicativo" con i soggetti con i quali abbiano già instaurato un rapporto contrattuale; tiene al tempo stesso conto del diritto dell'interessato a non essere disturbato mediante comunicazioni promozionali, in base a garanzie analoghe a quelle previste, per la situazione appena indicata, per l'uso della posta elettronica (art. 130, comma 4; v. anche, con riguardo alle comunicazioni postali, l' art. 58, comma 2, d.lg. n. 206/2005).
Non è necessario rivolgere un'istanza al Garante per avvalersi delle opportunità previste dal presente punto 3.
Viene infine dato atto nel seguente dispositivo di alcune altre risultanze dell'istruttoria relative alla designazione degli incaricati del trattamento e alla notificazione dei trattamenti.
TUTTO CIÒ PREMESSO IL GARANTE
1) ai sensi degli artt. 2, comma 2, 13, commi 3 e 5 e 154, comma 1, lett. c), del Codice formula a tutti i titolari del trattamento in ambito privato e pubblico, in particolare a piccole e medie imprese, liberi professionisti, artigiani, le seguenti indicazioni per semplificare l'informativa rispetto allo svolgimento di correnti finalità amministrative e contabili, anche in relazione all'adempimento di obblighi contrattuali, precontrattuali o normativi. Detti soggetti possono:
a) fornire un'unica informativa per il complesso dei trattamenti, anziché per singoli aspetti del rapporto con gli interessati;
b) fornire a questi ultimi una ricostruzione organica dei trattamenti e con linguaggio semplice, senza frammentarla o reiterarla inutilmente;
c) indicare le informazioni essenziali in un quadro adeguato di lealtà e correttezza;
d) redigere, per quanto possibile, una prima informativa breve. All'interessato, anche oralmente, andrebbero indicate sinteticamente alcune prime notizie chiarendo subito, con immediatezza, le principali caratteristiche del trattamento. In linea di massima l'informativa breve, quando è scritta, può avere la seguente formulazione:
"I SUOI DATI PERSONALI
Utilizziamo -anche tramite collaboratori esterni- i dati che la riguardano esclusivamente per nostre finalità amministrative e contabili, anche quando li comunichiamo a terzi. Informazioni dettagliate, anche in ordine al suo diritto di accesso e agli altri suoi diritti, sono riportate su...";
e) per l'informativa, specie per quella breve, si possono utilizzare gli spazi utili nel materiale cartaceo e nella corrispondenza che si impiegano già, ordinariamente, per finalità amministrative e contabili;
f) l'informativa breve può rinviare a un testo più articolato, disponibile agevolmente senza oneri per gli interessati, in luoghi e con modalità facilmente accessibili anche con strumenti informatici e telematici (in particolare, tramite reti Intranet o siti Internet, affissioni in bacheche o locali, avvisi e cartelli agli sportelli per la clientela, messaggi preregistrati disponibili digitando un numero telefonico gratuito).
Anche questa più ampia informativa deve essere improntata a correttezza, tenendo conto di possibili modifiche del trattamento, ed essere basata su espressioni sintetiche, chiare e comprensibili. Le notizie da indicare per legge (art. 13, comma 1) devono essere aggiornate, specificando la data dell'ultimo aggiornamento;
g) è possibile non inserire nell'informativa più articolata gli elementi noti all'interessato (art. 13, commi 2 e 4). E' opportuno omettere riferimenti meramente burocratici o circostanze ovvie, per esempio quando alcune informazioni, compresi gli estremi identificativi del titolare, risultano da altre parti del documento in cui è presente l'informativa. Vanno utilizzate espressioni efficaci, anche se sintetiche, anche per quanto riguarda i diritti degli interessati e l'organismo o soggetto al quale rivolgersi per esercitarli. Se è prevista la raccolta di dati presso terzi è possibile formulare una sola informativa per i dati forniti direttamente dall'interessato e per quelli che saranno acquisiti presso terzi. Per questi ultimi dati, l'informativa può non essere fornita quando vi è un obbligo normativo di trattarli (art. 13, comma 5);
h) è opportuno che l'informativa più articolata sia basata su uno schema tendenzialmente uniforme per il settore di attività del titolare del trattamento;
i) è invece necessario fornire un'informativa specifica o ad hoc quando il trattamento ha caratteristiche del tutto particolari perché coinvolge, ad esempio, peculiari informazioni (es. dati genetici) o prevede forme inusuali di utilizzazione di dati, specie sensibili, rispetto alle ordinarie esigenze amministrative e contabili, o può comportare rischi specifici per gli interessati (ad esempio, rispetto a determinate forme di uso di dati biometrici o di controllo delle attività dei lavoratori). Se il titolare del trattamento è un soggetto pubblico devono essere inserite le indicazioni che la legge prevede per i dati sensibili e giudiziari;
2) invita le associazioni di categoria a predisporre informative-tipo per determinati settori o categorie di trattamento, anche in collaborazione con questa Autorità. Il Garante si riserva in questo quadro di porre a disposizione gratuita (chiedendo anche la collaborazione delle camere di commercio), un kit contenente concrete istruzioni e fac-simile per semplificare tutti gli adempimenti in materia;
3) richiama l'attenzione dei titolari del trattamento sulla circostanza che la designazione degli incaricati del trattamento può avvenire in modo semplificato evitando singoli atti circostanziati relativi distintamente a ciascun incaricato, individuando i trattamenti di dati e le relative modalità che sono consentiti all'unità cui sono addetti gli incaricati stessi (art. 30);
4) richiama l'attenzione dei titolari del trattamento sulla circostanza che, per effetto delle previsioni del Codice e delle determinazioni già adottate da questa Autorità, la notificazione telematica al Garante non è necessaria per perseguire finalità amministrative e contabili, salvo che per eventuali casi eccezionali indicati per legge (art. 37);
5) ai sensi degli artt. 2, comma 2, 24 e 154, comma 1, lett. c), del Codice invita tutti i titolari del trattamento pubblici e privati a non chiedere il consenso degli interessati quando il trattamento dei dati è svolto, anche in relazione all'adempimento di obblighi contrattuali, precontrattuali o normativi, esclusivamente per correnti finalità amministrative e contabili, nonché quando i dati provengono da pubblici registri ed elenchi pubblici conoscibili da chiunque, o sono relativi allo svolgimento di attività economiche o sono trattati da un soggetto pubblico;
6) in applicazione del principio del bilanciamento degli interessi (art. 24, comma 1, lett. g)), dispone che i titolari del trattamento in ambito privato che hanno venduto un prodotto o prestato un servizio, nel quadro del perseguimento di ordinarie finalità amministrative e contabili, possono utilizzare senza il consenso i recapiti (oltre che di posta elettronica come già previsto per legge) di posta cartacea forniti dall'interessato, ai fini dell'invio diretto di proprio materiale pubblicitario o di propria vendita diretta o per il compimento di proprie ricerche di mercato o di comunicazione commerciale. Ciò, rispettando anche le garanzie previste per le attività di profilazione degli interessati (Provv. 24 febbraio 2005, doc. web n. 1103045), a condizione che:
a) tale attività promozionale riguardi beni e servizi del medesimo titolare e analoghi a quelli oggetto della vendita;
b) l'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione effettuata per le menzionate finalità, sia informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente, anche mediante l'utilizzo della posta elettronica o del fax o del telefono e di ottenere un immediato riscontro che confermi l'interruzione di tale trattamento (art. 7, comma 4);
c) l'interessato medesimo, così adeguatamente informato già prima dell'instaurazione del rapporto, non si opponga a tale uso, inizialmente o in occasione di successive comunicazioni;
7) dispone che copia del presente provvedimento sia trasmessa al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana, nonché alle associazioni di categoria, ai ministeri interessati e alle camere di commercio.
Roma, 19 giugno 2008
IL PRESIDENTE
Pizzetti
IL RELATORE
Pizzetti
IL SEGRETARIO GENERALE
Buttarelli
(*) Congiuntamente al presente provvedimento sulla semplificazione, in fase di pubblicazione sulla Gazzetta ufficiale, il Garante ha segnalato alle competenti autorità di Governo l'opportunità di apportare una modifica al Codice con riferimento alla disciplina delle misure minime di sicurezza e al documento programmatico, per contemperare meglio l'applicazione delle necessarie cautele di sicurezza dei dati e dei sistemi con l'esigenza di adattarle alle attività che, specie presso piccole e medie imprese, liberi professionisti e artigiani, vengono svolte in relazione ad attività di corrente gestione amministrativa e contabile.
In tale prospettiva, il Garante ha ipotizzato una modifica normativa dell'art. 33 del Codice, del seguente tenore:
"Art.
All'articolo 33 del decreto legislativo 30 giugno 2003 n. 196, dopo il comma 1, è aggiunto il seguente:
"1-bis. Il Garante può individuare con proprio provvedimento modalità semplificate in ordine all'adozione delle misure minime di cui al comma 1, con riferimento ai trattamenti effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani".".