Domanda: Cosa deve intendersi, nella interpretazione dell'articolo 24, lettera d), del Codice della privacy (D.Lgs.196/2003), per dati relativi allo svolgimento di una attività economica, quale ipotesi di esclusione dell'obbligo di acquisizione del consenso da parte dell'interessato?

Risposta: Tale eccezione deve essere intesa nel senso della non necessarietà del consenso dell'interessato, qualora il trattamento dei dati concerna informazioni strumentali e funzionali allo svolgimento di attività economiche.

Il termine attività economiche deve intendersi riconducibile alle informazioni sulla solvibilità, sullo stato di insolvenza di una impresa e sulla correttezza commerciale.
Tale deroga non può superare l'articolata disciplina del segreto aziendale e industriale, per espressa disposizione di legge.

Domanda: Siamo una Società di elaborazione dati che gestisce le contabilità di aziende, dichiarazioni dei redditi, paghe, iscrizioni all'INPS, alla C.C.I.A.A., al Tribunale, ai sindacati, paghe per i dipendenti, ecc.. In merito alla nostra attività quali sono le incombenze da espletare riguardo alla normativa sulla privacy?

Risposta: Le attività da voi gestite rientrano senza dubbio nell'ambito di applicazione del Codice della privacy.
In un contesto tipo nel quale in genere si opera, deve essere fatta una primissima valutazione, prima di procedere nell'attuazione negli adempimenti imposti dalla legge, di come è strutturata la gestione organizzativa dei servizi da voi prestati, di quali siano le figure soggettive dedicate ai trattamenti (titolare, responsabile e incaricati) e predisporre, eventualmente, precise deleghe e mansionari per gli incaricati.

Inoltre, per ciascuna attività deve essere fatta una puntuale valutazione su:
1) quali tipi di dati personali vengono trattati;
2) quale è l'ambito di comunicazione e diffusione dei dati (per esempio alla pubblica amministrazione);
3) se vengono trattati dati sensibili (vi facciamo notare, ad esempio, che nella gestione delle buste paga, se nelle stesse è riportata la delega per la trattenuta sindacale, quello è un dato sensibile; altra problematica legata ai dati sensibili è la gestione della sorveglianza sanitaria nell'ambito delle norme sulla sicurezza nei luoghi di lavoro: vedi, al proposito, un intervento nei "saggi" del nostro sito);
4) se vengono effettuati trattamenti incompatibili con le finalità di raccolta (ad esempio: nel caso di dati raccolti per le buste paga, utilizzati, anche, per compilare mailing di invio di pubblicazioni, ecc.).

Dopo la valutazione, occorre passare alla gestione degli adempimenti.
Per una gestione di trattamenti in conformità al Codice della privacy, inoltre, non deve assolutamente essere trascurato l'aspetto della sicurezza degli archivi.

Domanda: L'informazione dell'iscrizione di un'impresa ad una Associazione Sindacale di Categoria non è un dato sensibile in quanto riguarda le imprese e, quindi persone giuridiche?

Pensiamo, infatti, che tra gli obiettivi generali del Codice della privacy è indicata la tutela della riservatezza delle persone fisiche, e nella identificazione dei dati sensibili (art. 4, comma 1 lett. d) si parla di dati che si possono riferire solo a persone fisiche (convinzioni religiose, eccetera, origine razziale, etnica, organizzazioni a carattere religioso, filosofico politico, eccetera, salute, sesso). Sembrerebbe, quindi, si possa tener fuori l'iscrizione di un'Impresa ad una Associazione di categoria.

Risposta: Il Codice sulla privacy si applica sia alle persone fisiche, sia ad enti, persone giuridiche e associazioni; l'articolo 4 considera dato sensibile quello idoneo a rivelare, tra l'altro, l'appartenenza a sindacati o ad associazioni sindacali.
Ciò è confermato tanto dall'art. 1 ("Chiunque ha diritto alla protezione dei dati personali che lo riguardano"), quanto dall'art. 4, comma 1, lettera h, che espressamente definisce "interessato" le persone fisiche, le persone giuridiche, gli enti e le associazioni.
L'iscrizione ad un'associazione di categoria è, pertanto, dato sensibile, sia se riferito a persone che ad aziende.

Si deve evidenziare, tuttavia, che l'art. 26, comma 3, del Codice precisa che, sebbene dati sensibili, i dati riguardanti l'adesione di associazioni e organizzazioni a carattere sindacale o di categoria ad altre associazioni, organizzazioni o confederazioni a carattere sindacale o di categoria possono essere trattati senza il consenso dell'interessato e l'autorizzazione del Garante; il chŽ conferma quanto detto innanzi.

Domanda: Per una generica azienda, i dati necessari a tenere scritture contabili riguardanti persone fisiche (es: idraulico che fa una riparazione) si possono considerare pubblici e quindi non soggetti a consenso? (tra questi, di norma c'è il codice fiscale).

Risposta: Più che pubblici, tali dati dovrebbero essere considerati "dati relativi allo svolgimento di attività economiche" e quindi esclusi - dall'articolo 24, comma 1, lett. d), - dall'obbligo di acquisizione del consenso dell'interessato.
Resta fermo, invece, l'obbligo di fornire una completa informativa ai sensi dell'art. 13 del Codice della privacy.

Domanda: Molte aziende, nello svolgimento del servizio paghe chiedono ai dipendenti di comunicare l'eventuale iscrizione al sindacato per l'effettuazione della trattenuta; questo può essere considerato un dato sensibile e quindi devono richiedere l'autorizzazione preventiva del Garante (art 26)? Se non lo ottengono entro 30 giorni (rigetto) cosa devono fare?

Risposta: L'autorizzazione non è più necessaria, in quanto il Garante ha rilasciato, in materia di dati relativi allo svolgimento del rapporto di lavoro, una autorizzazione, in via generale e preventiva.

Ciò è accaduto anche per molti altri settori.

Domanda: Nella formula per l'acquisizione del consenso degli interessati occorrerà aggiungere, se rivolta a persone giuridiche, il titolo di rappresentatività del sottoscrivente?

Risposta: Si, purché sia il legale rappresentante della società.

Domanda: Vorrei porre i seguenti quesiti sul Codice della privacy:

1. I dati della mia clientela di Studio legale consistono unicamente in generalità, codice fiscale e partita IVA, che richiedo ai fini della fatturazione.
2. Le altre notizie, che occorrono per la causa, vengono inserite unicamente negli atti giudiziari e la loro riservatezza è già coperta dal segreto professionale. A quali adempimenti sono tenuto?

Risposta: La notifica al Garante non è necessaria.

Neanche il consenso è necessario per il trattamento dei dati comuni, fermo restando l'obbligo di ottenere per iscritto quello al trattamento dei dati sensibili.
È obbligatorio, comunque, informare l'interessato ai sensi dell'articolo 13 e rispettare i principi di cui all'articolo 11.

D: 2) Una Società Cooperativa che svolge attività di raccolta del prestito sociale chiede a ciascun socio prestatore generalità e titolo di studio. I dati vengono semplicemente registrati ai fini della gestione del conto. A quali adempimenti è tenuta?

R: Se i dati non sensibili raccolti sono strettamente necessari all'adempimento di obblighi contrattuali, ferma restando l'informativa, non è necessario il consenso.
Anche la notifica al Garante non è necessaria, ma rimane in vigore l'obbligo del rispetto dei principi affermati dall'art. 11.

D: 3) Un'impresa di ristorazione chiede ai propri clienti i dati necessari alla stipula del contratto e alla fatturazione dei servizi (denominazione, sede, codice fiscale, partita IVA). A quali adempimenti è tenuta?

R: Deve dare l'informativa agli interessati (chiarendo che l'unica finalità è quella legata al contratto) senza obbligo di consenso. La notifica al Garante, invece, non è necessaria.

D: 4) Un'impresa di emissione buoni pasto ha ricevuto una richiesta da parte di una società cliente (che acquista buoni pasto spendibili presso esercizi pubblici per i propri dipendenti) di restituire ad essa i buoni usati con indicazione del luogo e ora dove sono stati spesi.

La richiesta è legittima ?

R: Occorre verificare, alla luce del contratto tra le parti, il rispetto del principio di non eccedenza del trattamento rispetto alle finalità della raccolta, affermato nell'art. 11 del Codice della privacy.

Nel caso in cui dovesse essere verificata la fattibilità della cosa, occorrerebbe, comunque, informare l'interessato ed acquisirne il consenso espresso.

Domanda: Siamo un'azienda che possiede un archivio interno per la fatturazione ai Clienti contenente dati anagrafici.

1. Il Codice della privacy si applica anche in questi casi ?


2. Se si applica, cosa dobbiamo fare ?

Risposta: Il trattamento dei dati in questione, in quanto effettuato sulla base di obblighi di legge, o comunque connesso all'adempimento di obbligazioni contrattuali di cui l'interessato è parte, non è soggetto all'obbligo di consenso. Per i dati comuni, in ogni caso, occorre dare l'informativa prevista dall'art.13 e rispettare i principi di cui all'art.11 del Codice.

Rimangono, inoltre, come per ogni trattamento di dati personali, gli obblighi di adottare le misure minime di sicurezza, di cui all'All. B ("Disciplinare tecnico in materia di misure minime di sicurezza"), di nominare per iscritto gli incaricati del trattamento, fornendo loro istruzioni e formazione.

D: 3) Una login e una password, devono essere considerati dati personali?

R: Sì, secondo la definizione fornita dall'art. 4 del Codice.

Si considera dato personale ogni informazione che, anche indirettamente (come nel caso in questione), mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale, consenta di identificare una persona fisica o giuridica.

Domanda: Che cosa si intende con cessazione del trattamento?

Risposta: Si ha cessazione del trattamento ogni qualvolta si intenda, per qualsiasi causa, interrompere in via definitiva l'intero complesso di operazioni concernenti uno specifico trattamento di dati personali.

D: La soppressione di un singolo archivio (es. dipendenti cessati) è una cessazione del trattamento?

R: No, finché prosegue la complessiva attività di trattamento (es. paghe e stipendi) di dati personali nel suo complesso.

Domanda: Alcune campagne pubblicitarie da noi realizzate riportano in calce un coupon per la richiesta di informazioni sul prodotto pubblicizzato. Che cosa dispone in proposito il Codice della privacy? Possiamo continuare ad inserire i coupons? A quali condizioni?

Risposta: Se la richiesta di informazioni prevede la raccolta di dati personali (anche la semplice anagrafica di chi risponde) non in forma anonima, occorre rispettare il Codice e, dunque, quanto meno fornire agli interessati una completa informativa (art.13) in cui venga fatta espressa menzione del diritto concesso dall'art. 7, comma 4, lett.b, all'interessato, di opporsi, in tutto o in parte ed a titolo gratuito, al trattamento previsto a fini di informazione commerciale, o di invio di materiale pubblicitario, o di vendita diretta, ovvero, per il compimento di ricerche di mercato o di comunicazione commerciale interattiva. Tale diritto deve essere espressamente reso noto dal titolare all'interessato.

Domanda: I dati raccolti dalla nostra azienda sia per la banca dati, sia per le informazioni commerciali, sono in numero elevatissimo, tanto che rendere l'informativa all'interessato, prevista dall'art. 13, comporta un impiego di mezzi manifestamente sproporzionato al diritto che si intende tutelare. Vorremmo quindi chiedere al Garante di essere esentati da tale obbligo. È possibile?

Risposta: Si, l'art. 13, comma 5, lett.c, prevede che, nei casi in cui i dati non siano raccolti presso l'interessato, ma presso terzi, il Garante possa dichiarare manifestamente sproporzionato l'impiego dei mezzi necessari per fornire l'informativa agli interessati rispetto al diritto tutelato, esonerando, quindi, dall'obbligo dell'informativa i titolari che lo richiedano e dimostrino l'esistenza di tale circostanza.

Domanda: Quando è possibile considerare due strutture operative contitolari di un trattamento?

Risposta: Nei grandi enti, persone giuridiche o pubbliche amministrazioni, articolate in direzioni generali o in sedi decentrate o periferiche, dotate di poteri decisionali del tutto autonomi circa i trattamenti che si effettuano nel loro ambito, è possibile considerare tali articolazioni contitolari di uno stesso trattamento.

D: Le note di qualifica sono dati personali?

R: Si, tutte le informazioni oggettive, le descrizioni, i giudizi e le analisi sui dipendenti che danno origine a valutazioni complessive di questi sono state ricondotte all'ampia definizione di dato personale di cui all'art. 4, comma 1 lett. b) del Codice della privacy.

Domanda: In situazioni in cui una società di servizi informatici svolge service elaborativo (elaborazione dati, gestione della rete trasmissiva, gestione delle lan e dei server di rete su cui operano le società clienti, ecc.) per altre società, pur appartenendo tutte allo stesso Gruppo Bancario (compresa la stessa società di servizi informatici), quali sono, relativamente alla normativa sulla privacy, gli adempimenti e le responsabilità che spettano a ciascuna delle parti?

Risposta: Ci sembra di poter inquadrare il Vs. caso nell'ambito dell'attività di "incaricati" sempre che, da parte del committente di servizi, non sia stata scelta la strada di qualificarVi come "responsabili del trattamento".

È il caso di precisare che la qualifica di "incaricato" può essere attribuita solo a persone fisiche.

Nel caso le Vostre persone rivestano la qualifica di incaricati del committente di servizi, la Vs. opera dovrà essere svolta nell'ambito delle istruzioni ricevute dallo stesso, che avrà avuto l'accortezza di integrare le lettere di incarico nel senso indicato dal Codice della privacy.

Nel caso, invece, di conferimento di "responsabile del trattamento", sarete chiamati a condividere le responsabilità connesse ad alcuni adempimenti indicati dalla legge, nell'ambito del mandato ricevuto.