Segue:

La Privacy nelle attività economiche

Domanda: La CCIAA, della quale sono dipendente, autorizza da qualche anno una società di informatica all'utilizzo dei dati nominativi contenuti negli elenchi dei protesti, non appena ufficializzati (secondo la legge 77/1955 questo è possibile). La suddetta società li custodisce in una banca dati e li distribuisce a sua volta.

I quesiti che vorrei porre sono i seguenti:

1. Il privato può comunicare o diffondere quei dati senza il consenso degli interessati ? (gli elenchi ufficiali dei protesti sono cioè "elenchi conoscibili da chiunque"?)

Risposta: Sono conoscibili da chiunque nell'ambito della finalità di "pubblicità" enunciata dalla legge.

D: 2. La notificazione al Garante deve essere fatta?

R: L'art. 37, comma 1, lett.f), del Codice della privacy prevede l'obbligo della notificazione dei trattamenti dei dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento delle obbligazioni, a comportamenti illeciti o fraudolenti. Occorre, pertanto, valutare attentamente se il trattamento effettuato dalla società rientra in questa ipotesi.

In mancanza di ulteriori elementi, sembrerebbe di sì.


Domanda: Il trattamento dei dati relativi alle trattenute sindacali in busta paga deve considerarsi "dato sensibile" o no?

Risposta: Si.


Domanda: Un'azienda raccoglie dati di molti corrispondenti (anche persone fisiche), necessari a tenere le normali relazioni commerciali e scritture contabili; non tutti questi dati si possono considerare "pubblici".

Sono comunque soggetti a consenso?

Risposta: È possibile considerare tali dati come rientranti nell'ambito dello svolgimento di un'attività economica e quindi sottratti al consenso ai sensi dell'articolo 24 del Codice della privacy.

D: La raccolta di dati da parte di una Associazione o Organizzazione Sindacale o altro gruppo di persone (ad esempio una parrocchia) fa parte indispensabile, vitale ed irrinunciabile della sua attività; l'appartenenza a molti di questi enti è considerato dato "sensibile". Si può ritenere che questa raccolta (e tutti i trattamenti connessi) siano automaticamente autorizzati con la nascita legale dell'ente, tenuto conto che, negare il consenso, equivale a negare la possibilità di esistenza ?

R: Il problema non esiste, in quanto il Garante ha rilasciato una autorizzazione preventiva e generale (n. 3/1997, e successive modifiche) che consente alle Associazioni di trattare dati sensibili, naturalmente nei limiti e con le modalità fissate dall'autorizzazione stessa.


Domanda: Vorrei porre alcuni quesiti:

1) La nostra attività (un albergo), detiene come da obbligo di legge copia delle schedine questura (e queste non sono soggette, quindi, a obbligo di notifica); per velocizzare il servizio ai clienti, nel caso che gli stessi pernottino frequentemente nel nostro albergo, provvedevamo (fino a ieri) ad inserirli in un archivio anagrafico, facente parte del nostro programma alberghiero (l'archivio contiene i seguenti dati: nome, cognome, data e luogo di nascita, residenza, sesso, tipo di documento ed a volte n.ro di telefono e fax); vorrei avere conferma che il presente archivio deve essere notificato, e che i futuri dati devono essere dotati di consenso.

Risposta: I trattamenti, in virtù del sistema introdotto dall'art. 37 del Codice della privacy, non devono essere notificati.

La notificazione, infatti, è diventata un adempimento residuale, previsto come necessario solo in alcuni casi particolari.

D: 2) Un archivio similare, è stato creato per le ditte, a scopo di velocizzare l'emissione di fatture; anche questo deve essere notificato?

R: Vale lo stesso ragionamento.

D: 3) Un'agenda con riportati i numeri di telefono dei fornitori deve essere dichiarata?

R: No.

D: 4) Come si potrà dimostrare che, parte dei dati sono stati acquisiti prima del 8/5/1997 e, quindi, non sono soggetti a consenso?

R: Con le modifiche apportate di recente alla normativa sulla privacy, la situazione dei dati acquisiti prima dell'entrata in vigore della legge 675/1996, vale a dire prima della data da Lei testè indicata, è radicalmente mutata. Ed infatti, l'art.18 del d.lgs. 28 dicembre 2001 n.467 ha previsto che le disposizioni dell'art. 41, comma 1, della legge 675/1996 (vale a dire quelle che esimevano dall'obbligo del consenso per i dati raccolti prima della entrata in vigore della legge stessa) restano in vigore sino alla data del 30 giugno 2003. Né il Codice sulla Privacy, entrato in vigore il 1 gennaio 2004, ha disposto nulla al riguardo.

Pertanto, la disciplina transitoria deve intendersi abrogata.
E per ogni dato trattato, dunque, laddove richiesto dalla legge e non ricorrano esenzioni, allo stato attuale, è necessario munirsi del consenso delll'interessato, a prescindere dalla data di raccolta.

D: 5) È possibile effettuare la notifica attraverso la Camera di Commercio?

R: L'art.38, comma 3, stabilisce che il Garante provvederà a fornire la disponibilità del modello, anche attraverso convenzioni stipulate con soggetti autorizzati, anche presso associazioni di categoria e ordini professionali. Resta ferma, in ogni caso, la necessità che la notificazione sia sottoscritta dal notificante.

D: 6) Riguardo alla sicurezza dei dati informatici, quali norme sono previste?

R: L'articolo 31 del Codice della privacy stabilisce che i dati personali oggetto di trattamento devono essere protetti, mediante l'adozione di misure di sicurezza preventive e idonee a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito, o non conforme alle finalità della raccolta.

È necessario, inoltre, adottare standard minimi di sicurezza, individuati dall'All. B, cd. "Disciplinare tecnico", la cui mancata adozione è sanzionata penalmente.

D: 7) Con il Codice della privacy è stata abrogata la legge 121/1981 che prevedeva la notificazione alla questura del possesso di archivi magnetici?

R: NO!!! La legge 121/1981 è stata abrogata dalla legge 675/1996 e rimane quella abrogazione!!


Domanda: Gradirei avere un'informazione sulla nomina del Responsabile del trattamento, se scelto all'interno della Società.

Mentre i compiti devono essere indicati esplicitamente ed analiticamente per iscritto dal Titolare al/ai responsabile/i, non si parla minimamente della Nomina del Responsabile. Deve avvenire anch'essa per iscritto o semplicemente basta una comunicazione orale di servizio?

Risposta: L'art. 29 del Codice della privacy parla espressamente di compiti affidati al responsabile, analiticamente specificati per iscritto. La nomina, dunque, deve avvenire per iscritto, con l'attribuzione analitica degli incarichi e dell'ambito di intervento della nomina.

D: La relativa accettazione dell'incarico deve avvenire per iscritto?

R: È preferibile che ci sia una accettazione esplicita dell'incarico, dato che l'acquisizione della qualifica di responsabile del trattamento comporta l'assunzione di specifiche responsabilità.

D: Gradirei anche conoscere il riferimento legislativo/normativo a cui fare riferimento.

R: Il già menzionato art.29 del Codice della privacy.


Domanda: Nel caso in cui un'azienda gestisca un albo subfornitori in cui sono memorizzati: la ragione sociale del subfornitore, l'indirizzo, i nominativi di riferimento, deve sottoporsi alla normativa sulla privacy?

Risposta: Se i dati sono detenuti per l'adempimento di obblighi contrattuali di cui l'interessato è parte, non deve essere acquisito il consenso, altrimenti, sarà necessario provvedere ai sensi dell'art. 24 del Codice della privacy.

Gli interessati, comunque, devono essere informati secondo quanto previsto dall'articolo 13.


Domanda: Il Codice della privacy si applica anche ad aziende che operano in Italia, pur avendo la sede principale all'estero?

Risposta: Si, la normativa trova applicazione verso tutti i soggetti che compiano attività di trattamento nel territorio italiano, indipendentemente dal luogo in cui è situato l'archivio, così come, dalla nazionalità o residenza del titolare.

Attualmente, a seguito delle modifiche introdotte prima dal d.lgs. 467/2001, e dal Codice in materia di protezione dei dati personali, la legge si applica a chiunque, anche avente sede al di fuori dell'UE, utilizzi per il trattamento mezzi che si trovano nel territorio italiano, anche diversi da quelli elettronici o comunque automatizzati, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'UE.

In questo caso, il titolare stabilito fuori dall'UE deve designare un proprio rappresentante, stabilito nel territorio italiano, ai fini dell'applicazione della legge. L'indicazione del rappresentante deve, inoltre, essere inserita nell'eventuale notifica al Garante.


Domanda: Può un cittadino denunciare al Garante un'azienda che non abbia consentito l'accesso ai suoi dati personali da questa detenuti?

Risposta: Si. Gli artt. 141 e seguenti del Codice della privacy conferiscono all'interessato, dopo quindici giorni dalla presentazione dell'istanza, ex art. 7, al titolare del trattamento, il diritto di adire, alternativamente, l'Autorità garante o giudiziaria per far valere i suoi diritti.


Domanda: Sono un Consulente del Lavoro (L. 12/1979): quali sono gli adempimenti relativi alla gestione dei dati del personale dipendente/autonomo, della mia clientela?

Risposta: Occorre dare l'informativa e raccogliere il consenso scritto per i dati sensibili trattati, nonché rispettare i principi di cui all'art. 11 del Codice.

Anche per quanto riguarda i dati comuni, in mancanza di una nomina a incaricato o a responsabile del trattamento da parte delle aziende che si avvalgono della Sua collaborazione, dovrà provvedere alla raccolta del consenso.

D: Anche i dati della clientela saranno soggetti alla legge sulla privacy.
Come mi dovrò comportare con le trattenute sindacali e relativi versamenti?

R: Sarà sufficiente ottenere dagli interessati il consenso scritto al trattamento dei loro dati sensibili e fornire loro una completa informativa, ai sensi dell'art. 13 della legge.


Domanda: Da qualche parte abbiamo letto che le operazioni di trattamento aventi finalità di marketing devono ritenersi legittime e non hanno bisogno del consenso dell'interessato.

Risposta: Per effettuare attività di marketing è sempre necessario fornire all'interessato una completa informativa, ai sensi dell'art. 13 del Codice della privacy. Nell'informativa dovrà essere indicato, tra l'altro, il diritto dell'interessato di opporsi gratuitamente e in qualunque momento a tale attività.
Il disposto dell'art.130 del codice impone, invece, l'obbligo di raccogliere il consenso preventivo se si utilizzano strumenti particolarmente invasivi, ivi indicati (tra gli altri, e-mail, fax e SMS).


Domanda: Siamo una società di sviluppo software, avremmo una domanda da sottoporre alla vostra attenzione. La nostra strategia commerciale si basa quasi esclusivamente sul telemarketing e direct-marketing. Con l'avvento della legge sulla privacy ci siamo subito informati sulle incombenze nei confronti dei nostri utenti-clienti.
In teoria, a quanto abbiamo letto e capito, dovremmo avvisare tutti i clienti, preventivamente, dell'invio di fax e materiale informativo, e saremo autorizzati a spedire il nostro materiale esclusivamente con il consenso del ricevente.
Un pò di domande:

  1. È giusto quello che abbiamo capito?
  2. Il consenso deve essere scritto e firmato, o si limita al consenso orale?
  3. Se ciò che abbiamo capito è giusto, inviamo un commento: i costi si triplicano, e in caso di molti mancati permessi molte attività rischiano di chiudere.

Risposta: In effetti, è così. Non è possibile inviare, tramite fax od e.mail, materiale pubblicitario senza chiedere preventivamente il consenso dell'interessato che, nel silenzio della legge, deve ritenersi valido anche se prestato oralmente (ma documentabile per eventuali contestazioni al Garante).


Domanda: Vorrei, se possibile, un chiarimento in merito al seguente quesito postomi da un cliente: se è possibile effettuare un servizio telematico di questo tipo: mediante computer effettuare telefonate ai privati. Alla risposta diffondere un breve messaggio preregistrato che dia poi la possibilità al chiamato di essere messo in contatto con un operatore o, se non lo desidera, di chiudere la telefonata?

Risposta: È un'attività, quella da Lei descritta che rientra nel divieto previsto dall'art.130, comma 1 del Codice della privacy, in mancanza di preventivo consenso del destinatario.