| Garante per la protezione dei dati personali SEMPLIFICAZIONI DI TALUNIADEMPIMENTI IN AMBITO PUBBLICO E PRIVATO RISPETTO A TRATTAMENTI PER FINALITAMMINISTRATIVE E CONTABILI IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza delprof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti,e del dott. Giovanni Buttarelli, segretario generale; Visto il Codice in materia di protezionedei dati personali (d. lg. 30 giugno 2003, n. 196) e ritenuta l'opportunit dipromuovere alcune misure di semplificazione per l'intero settore pubblico eprivato in relazione alle correnti attivit amministrative e contabili, in particolare nei riguardi di piccole e medie imprese, liberi professionisti eartigiani; Viste le osservazioni formulate dalsegretario generale ai sensi dell'art. 15 del regolamento del Garante n.1/2000; Relatore il prof. Francesco Pizzetti; PREMESSO 1. Esigenze alla base di nuove misure disemplificazione: Presso vari operatori si avverte l'esigenza di alcunesemplificazioni nell'applicazione della disciplina sulla protezione dei datipersonali. La riflessione in ambito pubblico eprivato avvertita in modo particolare presso piccole e medie imprese, liberiprofessionisti e artigiani, per quanto riguarda la gestione di informazioniattinenti ad altre imprese, amministrazioni, clienti, fornitori e dipendentiutilizzate, anche in relazione a obblighi contrattuali e normativi, percorrenti finalit amministrative e contabili. Sulla base dell'esperienza acquisita inmateria vengono prospettate alcune criticit rispetto a determinate modalitper adempiere a obblighi di legge o derivanti da un contratto, avvertite cometroppo onerose in rapporto alle garanzie per gli interessati. Il Garante ha completato un'analisiapprofondita della problematica. In aggiunta alle misure di semplificazionedisposte con decisioni per casi specifici, l'Autorit ha intrapreso varieiniziative, anche sulla base di un dialogo con le categorie interessate, che hagi comportato l'approvazione di un provvedimento di carattere generale ("Guidapratica e misure di semplificazione per le piccole e medie imprese Dall'istruttoria sono emerse trevalutazioni di fondo: a) alcune modalit applicative, seguitesoprattutto presso piccole imprese, liberi professionisti e artigiani, sonoancora basate su approcci prettamente burocratici e di ordine puramenteformale. Istituti posti a garanzia degli interessati vengono banalizzati incontrasto con lo spirito del Codice che intende assicurare una protezioneelevata dei diritti e delle libert fondamentali "nel rispetto deiprincpi di semplificazione, armonizzazione ed efficacia b) possibile apportare ulteriorisemplificazioni (in particolare per agevolare la corrente attivit gestionaledi organismi pubblici e privati di ridotte dimensioni), in aggiunta a quellegi introdotte per legge o da questa Autorit e in armonia con la disciplinacomplessiva, anche comunitaria, della materia, salvaguardando i diritti e lelibert fondamentali dei cittadini; c) la protezione dei dati personali purappresentare una risorsa, anche per piccole e medie imprese, rendere piefficiente l'attivit gestionale e incrementare la fiducia degli interessati. L'Autorit intende fornire un suo nuovocontributo in materia esercitando le attribuzioni che le sono conferite perlegge. Con il presente provvedimento sonopertanto individuate soluzioni concrete volte ad agevolare ulteriormentel'ordinaria attivit di gestione amministrativa e contabile, in modoparticolare rispetto ai casi in cui non sono trattati dati di caratteresensibile o giudiziario. Di seguito, vengono quindi enunciate nuove linee guida-interpretativedella normativa vigente e sono individuate alcune modalit innovative persemplificare taluni adempimenti, in modo particolare per l'informativa agliinteressati e il consenso. 2. L'informativa agliinteressati: Diverse realt, specie imprenditoriali di piccole e mediedimensioni, trattano dati, anche in relazione a obblighi contrattuali,precontrattuali o di legge, esclusivamente per finalit di ordineamministrativo e contabile (gestione di ordinativi, buste paga e di ordinariacorrispondenza con clienti, fornitori, realt esterne di supporto anche in outsourcing Alcune tra le criticit menzionateriguardano le modalit con cui l'informativa fornita per iscritto, anzichoralmente (art. 13). Sono stati formati spesso moduli lunghi e burocratici,privi di comunicativit e basati sull'eccessivo uso di espressioni prettamentegiuridiche, inidonee a far comprendere le caratteristiche principali deltrattamento. Alla mancanza di chiarezza si sommata l'inutile ripetizionedell'informativa in occasione di ciascun contatto con gli interessati,frazionando le spiegazioni che andrebbero invece fornite in modo organico epossibilmente unitario. Il Garante intende prescrivere a tutti ititolari in ambito privato e pubblico alcune misure opportune e formulareindicazioni per semplificare l'informativa nei termini di cui al seguentedispositivo (artt. 2, comma 2, 13, commi 3 e 5 e 154, comma 1, lett. c)). 3. Il consenso: Il Garante, conriferimento al consenso (art. 23), considerati i princpi di efficacia eproporzionalit e in relazione agli artt. 2, 18, 24 comma 1 e 154, comma 1,lett. c), del Codice, intende anche prescrivere a tutti i titolari deltrattamento pubblici e privati alcune misure opportune affinch non richiedanoil consenso nei vari casi in cui esso non deve essere richiesto (dai soggettipubblici) o superfluo (per i soggetti privati). Ci, in particolare, quando: a) il trattamento dei dati in ambitoprivato svolto per adempiere a obblighi contrattuali o normativi o, comunque,per ordinarie finalit amministrative e contabili; b) i dati trattati provengono dapubblici registri ed elenchi pubblici conoscibili da chiunque o sono relativiallo svolgimento di attivit economiche dell'interessato (v., per i presuppostirelativi a ciascuno dei predetti casi, l'art. 24, comma 1; v. anche l'art. 18,comma 4). Il Garante, in applicazione dell'istitutodel bilanciamento degli interessi (art. 24, comma 1, lett. g)) intende ancheindividuare un'ulteriore ipotesi nella quale il consenso non va richiesto. Il titolare del trattamento che abbia givenduto un prodotto o prestato un servizio a un interessato, nel quadro dellosvolgimento di ordinarie finalit amministrative e contabili, potr utilizzarenei termini di cui al seguente dispositivo i recapiti (oltre che di postaelettronica, come gi previsto per legge: art. 130, comma 4) di posta cartaceaforniti dall'interessato medesimo, per inviare ulteriore suo materialepubblicitario o promuovere una sua vendita diretta o per compiere sue ricerchedi mercato o di comunicazione commerciale. Tale bilanciamento degli interessiconsidera le difficolt rappresentate da alcuni operatori economici nelconservare un proprio diretto "canale comunicativo Non necessario rivolgere un'istanza alGarante per avvalersi delle opportunit previste dal presente punto 3. Viene infine dato atto nel seguentedispositivo di alcune altre risultanze dell'istruttoria relative alladesignazione degli incaricati del trattamento e alla notificazione deitrattamenti. TUTTO CI PREMESSO ILGARANTE 1) ai sensi degli artt. 2, comma 2,13, commi 3 e 5 e 154, comma 1, lett. c), del Codice formula a tutti i titolaridel trattamento in ambito privato e pubblico, in particolare a piccole e medieimprese, liberi professionisti, artigiani, le seguenti indicazioni persemplificare l'informativa rispetto allo svolgimento di correnti finalitamministrative e contabili, anche in relazione all'adempimento di obblighicontrattuali, precontrattuali o normativi. Detti soggetti possono: a) fornire un'unica informativa peril complesso dei trattamenti, anzich per singoli aspetti del rapporto con gliinteressati; b) fornire a questi ultimi unaricostruzione organica dei trattamenti e con linguaggio semplice, senzaframmentarla o reiterarla inutilmente; c) indicare le informazioniessenziali in un quadro adeguato di lealt e correttezza; d) redigere, per quanto possibile,una prima informativa breve. All'interessato, anche oralmente, andrebberoindicate sinteticamente alcune prime notizie chiarendo subito, conimmediatezza, le principali caratteristiche del trattamento. In linea dimassima l'informativa breve, quando scritta, pu avere la seguenteformulazione:
e) per l'informativa, specie per quellabreve, si possono utilizzare gli spazi utili nel materiale cartaceo e nellacorrispondenza che si impiegano gi, ordinariamente, per finalitamministrative e contabili; f) l'informativa breve pu rinviarea un testo pi articolato, disponibile agevolmente senza oneri per gliinteressati, in luoghi e con modalit facilmente accessibili anche construmenti informatici e telematici (in particolare, tramite reti Intranet g) possibile non inserirenell'informativa pi articolata gli elementi noti all'interessato (art. 13,commi 2 e 4). E' opportuno omettere riferimenti meramente burocratici ocircostanze ovvie, per esempio quando alcune informazioni, compresi gli estremiidentificativi del titolare, risultano da altre parti del documento in cui presente l'informativa. Vanno utilizzate espressioni efficaci, anche sesintetiche, anche per quanto riguarda i diritti degli interessati e l'organismoo soggetto al quale rivolgersi per esercitarli. Se prevista la raccolta didati presso terzi possibile formulare una sola informativa per i dati fornitidirettamente dall'interessato e per quelli che saranno acquisiti presso terzi.Per questi ultimi dati, l'informativa pu non essere fornita quando vi unobbligo normativo di trattarli (art. 13, comma 5); h) opportuno che l'informativa piarticolata sia basata su uno schema tendenzialmente uniforme per il settore diattivit del titolare del trattamento; i) invece necessario fornireun'informativa specifica o ad hocquando il trattamento ha caratteristiche del tutto particolari perchcoinvolge, ad esempio, peculiari informazioni (es. dati genetici) o prevede formeinusuali di utilizzazione di dati, specie sensibili, rispetto alle ordinarieesigenze amministrative e contabili, o pu comportare rischi specifici per gliinteressati (ad esempio, rispetto a determinate forme di uso di dati biometricio di controllo delle attivit dei lavoratori). Se il titolare del trattamento un soggetto pubblico devono essere inserite le indicazioni che la legge prevedeper i dati sensibili e giudiziari; 2) invita le associazioni dicategoria a predisporre informative-tipo per determinati settori o categorie ditrattamento, anche in collaborazione con questa Autorit. Il Garante si riservain questo quadro di porre a disposizione gratuita (chiedendo anche lacollaborazione delle camere di commercio), un kit 3) richiama l'attenzione deititolari del trattamento sulla circostanza che la designazione degli incaricatidel trattamento pu avvenire in modo semplificato evitando singoli atticircostanziati relativi distintamente a ciascun incaricato, individuando itrattamenti di dati e le relative modalit che sono consentiti all'unit cuisono addetti gli incaricati stessi (art. 30); 4) richiama l'attenzione deititolari del trattamento sulla circostanza che, per effetto delle previsionidel Codice e delle determinazioni gi adottate da questa Autorit, lanotificazione telematica al Garante non necessaria per perseguire finalitamministrative e contabili, salvo che per eventuali casi eccezionali indicatiper legge (art. 37); 5) ai sensi degli artt. 2, comma 2,24 e 154, comma 1, lett. c), del Codice invita tutti i titolari del trattamentopubblici e privati a non chiedere il consenso degli interessati quando iltrattamento dei dati svolto, anche in relazione all'adempimento di obblighicontrattuali, precontrattuali o normativi, esclusivamente per correnti finalitamministrative e contabili, nonch quando i dati provengono da pubbliciregistri ed elenchi pubblici conoscibili da chiunque, o sono relativi allosvolgimento di attivit economiche o sono trattati da un soggetto pubblico; 6) in applicazione del principio delbilanciamento degli interessi (art. 24, comma 1, lett. g)), dispone che ititolari del trattamento in ambito privato che hanno venduto un prodotto oprestato un servizio, nel quadro del perseguimento di ordinarie finalitamministrative e contabili, possono utilizzare senza il consenso i recapiti(oltre che di posta elettronica come gi previsto per legge) di posta cartaceaforniti dall'interessato, ai fini dell'invio diretto di proprio materialepubblicitario o di propria vendita diretta o per il compimento di propriericerche di mercato o di comunicazione commerciale. Ci, rispettando anche legaranzie previste per le attivit di profilazione degli interessati ( a) tale attivit promozionaleriguardi beni e servizi del medesimo titolare e analoghi a quelli oggetto dellavendita; b) l'interessato, al momento dellaraccolta e in occasione dell'invio di ogni comunicazione effettuata per lemenzionate finalit, sia informato della possibilit di opporsi in ogni momentoal trattamento, in maniera agevole e gratuitamente, anche mediante l'utilizzodella posta elettronica o del fax o del telefono e di ottenere un immediatoriscontro che confermi l'interruzione di tale trattamento (art. 7, comma 4); c) l'interessato medesimo, cosadeguatamente informato gi prima dell'instaurazione del rapporto, non siopponga a tale uso, inizialmente o in occasione di successive comunicazioni; 7) dispone che copia del presenteprovvedimento sia trasmessa al Ministero della giustizia-Ufficio pubblicazioneleggi e decreti, per la sua pubblicazione sulla Gazzetta Ufficiale Roma, 19 giugno 2008
In tale prospettiva, il Garante ha ipotizzatouna modifica normativa dell'art. 33 del Codice, del seguente tenore: "Art. All'articolo 33 deldecreto legislativo 30 giugno 2003 n. 196, dopo il comma 1, aggiunto ilseguente: "1-bis. Il Garante pu individuare con proprioprovvedimento modalit semplificate in ordine all'adozione delle misure minimedi cui al comma 1, con riferimento ai trattamenti effettuati per correntifinalit amministrative e contabili, in particolare presso piccole e medieimprese, liberi professionisti e artigiani".". |