|
Garante per la protezione dei dati personali SEMPLIFICAZIONI DI TALUNI
ADEMPIMENTI IN AMBITO PUBBLICO E PRIVATO RISPETTO A TRATTAMENTI PER FINALIT
AMMINISTRATIVE E CONTABILI (*) IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale; Visto il Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196) e ritenuta l'opportunit di promuovere alcune misure di semplificazione per l'intero settore pubblico e privato in relazione alle correnti attivit amministrative e contabili, in particolare nei riguardi di piccole e medie imprese, liberi professionisti e artigiani; Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore il prof. Francesco Pizzetti; PREMESSO 1. Esigenze alla base di nuove misure di semplificazione: Presso vari operatori si avverte l'esigenza di alcune semplificazioni nell'applicazione della disciplina sulla protezione dei dati personali. La riflessione in ambito pubblico e privato avvertita in modo particolare presso piccole e medie imprese, liberi professionisti e artigiani, per quanto riguarda la gestione di informazioni attinenti ad altre imprese, amministrazioni, clienti, fornitori e dipendenti utilizzate, anche in relazione a obblighi contrattuali e normativi, per correnti finalit amministrative e contabili. Sulla base dell'esperienza acquisita in materia vengono prospettate alcune criticit rispetto a determinate modalit per adempiere a obblighi di legge o derivanti da un contratto, avvertite come troppo onerose in rapporto alle garanzie per gli interessati. Il Garante ha completato un'analisi approfondita della problematica. In aggiunta alle misure di semplificazione disposte con decisioni per casi specifici, l'Autorit ha intrapreso varie iniziative, anche sulla base di un dialogo con le categorie interessate, che ha gi comportato l'approvazione di un provvedimento di carattere generale ("Guida pratica e misure di semplificazione per le piccole e medie imprese", Provv. 24 maggio 2007, n. 21, in G.U. 21 giugno 2007, n. 142). Dall'istruttoria sono emerse tre valutazioni di fondo: a) alcune modalit applicative, seguite soprattutto presso piccole imprese, liberi professionisti e artigiani, sono ancora basate su approcci prettamente burocratici e di ordine puramente formale. Istituti posti a garanzia degli interessati vengono banalizzati in contrasto con lo spirito del Codice che intende assicurare una protezione elevata dei diritti e delle libert fondamentali "nel rispetto dei princpi di semplificazione, armonizzazione ed efficacia" (art. 2, comma 2). Da tali prassi conseguono adempimenti superflui o ripetuti inutilmente, talvolta anche per effetto di erronee valutazioni fornite in sede di consulenza, con oneri organizzativi da cui non deriva un reale valore aggiunto ai fini della correttezza e della trasparenza del trattamento e che gli interessati avvertono con disinteresse o fastidio; b) possibile apportare ulteriori semplificazioni (in particolare per agevolare la corrente attivit gestionale di organismi pubblici e privati di ridotte dimensioni), in aggiunta a quelle gi introdotte per legge o da questa Autorit e in armonia con la disciplina complessiva, anche comunitaria, della materia, salvaguardando i diritti e le libert fondamentali dei cittadini; c) la protezione dei dati personali pu rappresentare una risorsa, anche per piccole e medie imprese, rendere pi efficiente l'attivit gestionale e incrementare la fiducia degli interessati. L'Autorit intende fornire un suo nuovo contributo in materia esercitando le attribuzioni che le sono conferite per legge. Con il presente provvedimento sono pertanto individuate soluzioni concrete volte ad agevolare ulteriormente l'ordinaria attivit di gestione amministrativa e contabile, in modo particolare rispetto ai casi in cui non sono trattati dati di carattere sensibile o giudiziario. Di seguito, vengono quindi enunciate nuove linee guida-interpretative della normativa vigente e sono individuate alcune modalit innovative per semplificare taluni adempimenti, in modo particolare per l'informativa agli interessati e il consenso. 2. L'informativa agli interessati: Diverse realt, specie imprenditoriali di piccole e medie dimensioni, trattano dati, anche in relazione a obblighi contrattuali, precontrattuali o di legge, esclusivamente per finalit di ordine amministrativo e contabile (gestione di ordinativi, buste paga e di ordinaria corrispondenza con clienti, fornitori, realt esterne di supporto anche in outsourcing, dipendenti); spesso, ci accade in relazione a informazioni che non hanno carattere sensibile o giudiziario. Alcune tra le criticit menzionate riguardano le modalit con cui l'informativa fornita per iscritto, anzich oralmente (art. 13). Sono stati formati spesso moduli lunghi e burocratici, privi di comunicativit e basati sull'eccessivo uso di espressioni prettamente giuridiche, inidonee a far comprendere le caratteristiche principali del trattamento. Alla mancanza di chiarezza si sommata l'inutile ripetizione dell'informativa in occasione di ciascun contatto con gli interessati, frazionando le spiegazioni che andrebbero invece fornite in modo organico e possibilmente unitario. Il Garante intende prescrivere a tutti i titolari in ambito privato e pubblico alcune misure opportune e formulare indicazioni per semplificare l'informativa nei termini di cui al seguente dispositivo (artt. 2, comma 2, 13, commi 3 e 5 e 154, comma 1, lett. c)). 3. Il consenso: Il Garante, con riferimento al consenso (art. 23), considerati i princpi di efficacia e proporzionalit e in relazione agli artt. 2, 18, 24 comma 1 e 154, comma 1, lett. c), del Codice, intende anche prescrivere a tutti i titolari del trattamento pubblici e privati alcune misure opportune affinch non richiedano il consenso nei vari casi in cui esso non deve essere richiesto (dai soggetti pubblici) o superfluo (per i soggetti privati). Ci, in particolare, quando: a) il trattamento dei dati in ambito privato svolto per adempiere a obblighi contrattuali o normativi o, comunque, per ordinarie finalit amministrative e contabili; b) i dati trattati provengono da pubblici registri ed elenchi pubblici conoscibili da chiunque o sono relativi allo svolgimento di attivit economiche dell'interessato (v., per i presupposti relativi a ciascuno dei predetti casi, l'art. 24, comma 1; v. anche l'art. 18, comma 4). Il Garante, in applicazione dell'istituto del bilanciamento degli interessi (art. 24, comma 1, lett. g)) intende anche individuare un'ulteriore ipotesi nella quale il consenso non va richiesto. Il titolare del trattamento che abbia gi venduto un prodotto o prestato un servizio a un interessato, nel quadro dello svolgimento di ordinarie finalit amministrative e contabili, potr utilizzare nei termini di cui al seguente dispositivo i recapiti (oltre che di posta elettronica, come gi previsto per legge: art. 130, comma 4) di posta cartacea forniti dall'interessato medesimo, per inviare ulteriore suo materiale pubblicitario o promuovere una sua vendita diretta o per compiere sue ricerche di mercato o di comunicazione commerciale. Tale bilanciamento degli interessi considera le difficolt rappresentate da alcuni operatori economici nel conservare un proprio diretto "canale comunicativo" con i soggetti con i quali abbiano gi instaurato un rapporto contrattuale; tiene al tempo stesso conto del diritto dell'interessato a non essere disturbato mediante comunicazioni promozionali, in base a garanzie analoghe a quelle previste, per la situazione appena indicata, per l'uso della posta elettronica (art. 130, comma 4; v. anche, con riguardo alle comunicazioni postali, l' art. 58, comma 2, d.lg. n. 206/2005). Non necessario rivolgere un'istanza al Garante per avvalersi delle opportunit previste dal presente punto 3. Viene infine dato atto nel seguente dispositivo di alcune altre risultanze dell'istruttoria relative alla designazione degli incaricati del trattamento e alla notificazione dei trattamenti. TUTTO CI PREMESSO IL GARANTE 1) ai sensi degli artt. 2, comma 2, 13, commi 3 e 5 e 154, comma 1, lett. c), del Codice formula a tutti i titolari del trattamento in ambito privato e pubblico, in particolare a piccole e medie imprese, liberi professionisti, artigiani, le seguenti indicazioni per semplificare l'informativa rispetto allo svolgimento di correnti finalit amministrative e contabili, anche in relazione all'adempimento di obblighi contrattuali, precontrattuali o normativi. Detti soggetti possono: a) fornire un'unica informativa per il complesso dei trattamenti, anzich per singoli aspetti del rapporto con gli interessati; b) fornire a questi ultimi una ricostruzione organica dei trattamenti e con linguaggio semplice, senza frammentarla o reiterarla inutilmente; c) indicare le informazioni essenziali in un quadro adeguato di lealt e correttezza; d) redigere, per quanto possibile, una prima informativa breve. All'interessato, anche oralmente, andrebbero indicate sinteticamente alcune prime notizie chiarendo subito, con immediatezza, le principali caratteristiche del trattamento. In linea di massima l'informativa breve, quando scritta, pu avere la seguente formulazione:
e) per l'informativa, specie per quella breve, si possono utilizzare gli spazi utili nel materiale cartaceo e nella corrispondenza che si impiegano gi, ordinariamente, per finalit amministrative e contabili; f) l'informativa breve pu rinviare a un testo pi articolato, disponibile agevolmente senza oneri per gli interessati, in luoghi e con modalit facilmente accessibili anche con strumenti informatici e telematici (in particolare, tramite reti Intranet o siti Internet, affissioni in bacheche o locali, avvisi e cartelli agli sportelli per la clientela, messaggi preregistrati disponibili digitando un numero telefonico gratuito). Anche questa pi ampia informativa deve essere improntata a correttezza, tenendo conto di possibili modifiche del trattamento, ed essere basata su espressioni sintetiche, chiare e comprensibili. Le notizie da indicare per legge (art. 13, comma 1) devono essere aggiornate, specificando la data dell'ultimo aggiornamento; g) possibile non inserire nell'informativa pi articolata gli elementi noti all'interessato (art. 13, commi 2 e 4). E' opportuno omettere riferimenti meramente burocratici o circostanze ovvie, per esempio quando alcune informazioni, compresi gli estremi identificativi del titolare, risultano da altre parti del documento in cui presente l'informativa. Vanno utilizzate espressioni efficaci, anche se sintetiche, anche per quanto riguarda i diritti degli interessati e l'organismo o soggetto al quale rivolgersi per esercitarli. Se prevista la raccolta di dati presso terzi possibile formulare una sola informativa per i dati forniti direttamente dall'interessato e per quelli che saranno acquisiti presso terzi. Per questi ultimi dati, l'informativa pu non essere fornita quando vi un obbligo normativo di trattarli (art. 13, comma 5); h) opportuno che l'informativa pi articolata sia basata su uno schema tendenzialmente uniforme per il settore di attivit del titolare del trattamento; i) invece necessario fornire un'informativa specifica o ad hoc quando il trattamento ha caratteristiche del tutto particolari perch coinvolge, ad esempio, peculiari informazioni (es. dati genetici) o prevede forme inusuali di utilizzazione di dati, specie sensibili, rispetto alle ordinarie esigenze amministrative e contabili, o pu comportare rischi specifici per gli interessati (ad esempio, rispetto a determinate forme di uso di dati biometrici o di controllo delle attivit dei lavoratori). Se il titolare del trattamento un soggetto pubblico devono essere inserite le indicazioni che la legge prevede per i dati sensibili e giudiziari; 2) invita le associazioni di categoria a predisporre informative-tipo per determinati settori o categorie di trattamento, anche in collaborazione con questa Autorit. Il Garante si riserva in questo quadro di porre a disposizione gratuita (chiedendo anche la collaborazione delle camere di commercio), un kit contenente concrete istruzioni e fac-simile per semplificare tutti gli adempimenti in materia; 3) richiama l'attenzione dei titolari del trattamento sulla circostanza che la designazione degli incaricati del trattamento pu avvenire in modo semplificato evitando singoli atti circostanziati relativi distintamente a ciascun incaricato, individuando i trattamenti di dati e le relative modalit che sono consentiti all'unit cui sono addetti gli incaricati stessi (art. 30); 4) richiama l'attenzione dei titolari del trattamento sulla circostanza che, per effetto delle previsioni del Codice e delle determinazioni gi adottate da questa Autorit, la notificazione telematica al Garante non necessaria per perseguire finalit amministrative e contabili, salvo che per eventuali casi eccezionali indicati per legge (art. 37); 5) ai sensi degli artt. 2, comma 2, 24 e 154, comma 1, lett. c), del Codice invita tutti i titolari del trattamento pubblici e privati a non chiedere il consenso degli interessati quando il trattamento dei dati svolto, anche in relazione all'adempimento di obblighi contrattuali, precontrattuali o normativi, esclusivamente per correnti finalit amministrative e contabili, nonch quando i dati provengono da pubblici registri ed elenchi pubblici conoscibili da chiunque, o sono relativi allo svolgimento di attivit economiche o sono trattati da un soggetto pubblico; 6) in applicazione del principio del bilanciamento degli interessi (art. 24, comma 1, lett. g)), dispone che i titolari del trattamento in ambito privato che hanno venduto un prodotto o prestato un servizio, nel quadro del perseguimento di ordinarie finalit amministrative e contabili, possono utilizzare senza il consenso i recapiti (oltre che di posta elettronica come gi previsto per legge) di posta cartacea forniti dall'interessato, ai fini dell'invio diretto di proprio materiale pubblicitario o di propria vendita diretta o per il compimento di proprie ricerche di mercato o di comunicazione commerciale. Ci, rispettando anche le garanzie previste per le attivit di profilazione degli interessati (Provv. 24 febbraio 2005), a condizione che: a) tale attivit promozionale riguardi beni e servizi del medesimo titolare e analoghi a quelli oggetto della vendita; b) l'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione effettuata per le menzionate finalit, sia informato della possibilit di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente, anche mediante l'utilizzo della posta elettronica o del fax o del telefono e di ottenere un immediato riscontro che confermi l'interruzione di tale trattamento (art. 7, comma 4); c) l'interessato medesimo, cos adeguatamente informato gi prima dell'instaurazione del rapporto, non si opponga a tale uso, inizialmente o in occasione di successive comunicazioni; 7) dispone che copia del presente provvedimento sia trasmessa al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana, nonch alle associazioni di categoria, ai ministeri interessati e alle camere di commercio. Roma, 19 giugno 2008 Il presidente Il relatore Il segretario generale
(*) Congiuntamente al presente provvedimento sulla semplificazione, in fase di pubblicazione sulla Gazzetta ufficiale, il Garante ha segnalato alle competenti autorit di Governo l'opportunit di apportare una modifica al Codice con riferimento alla disciplina delle misure minime di sicurezza e al documento programmatico, per contemperare meglio l'applicazione delle necessarie cautele di sicurezza dei dati e dei sistemi con l'esigenza di adattarle alle attivit che, specie presso piccole e medie imprese, liberi professionisti e artigiani, vengono svolte in relazione ad attivit di corrente gestione amministrativa e contabile. In tale prospettiva, il Garante ha ipotizzato una modifica normativa dell'art. 33 del Codice, del seguente tenore: "Art. All'articolo 33 del decreto legislativo 30 giugno 2003 n. 196, dopo il comma 1, aggiunto il seguente: "1-bis. Il Garante pu individuare con proprio provvedimento modalit semplificate in ordine all'adozione delle misure minime di cui al comma 1, con riferimento ai trattamenti effettuati per correnti finalit amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani".". |