IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale; Visto il Codice in materia di protezione dei dati personali (decreto legislativo 30 giugno 2003, n. 196) e ritenuta l'opportunita' di promuovere alcune misure di semplificazione per l'intero settore pubblico e privato in relazione alle correnti attivita' amministrative e contabili, in particolare nei riguardi di piccole e medie imprese, liberi professionisti e artigiani; Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore il prof. Francesco Pizzetti; Premesso:
1. Esigenze alla base di nuove misure di semplificazione. Presso vari operatori si avverte l'esigenza di alcune semplificazioni nell'applicazione della disciplina sulla protezione dei dati personali. La riflessione in ambito pubblico e privato e' avvertita in modo particolare presso piccole e medie imprese, liberi professionisti e artigiani, per quanto riguarda la gestione di informazioni attinenti ad altre imprese, amministrazioni, clienti, fornitori e dipendenti utilizzate, anche in relazione a obblighi contrattuali e normativi, per correnti finalita' amministrative e contabili. Sulla base dell'esperienza acquisita in materia vengono prospettate alcune criticita' rispetto a determinate modalita' per adempiere a obblighi di legge o derivanti da un contratto, avvertite come troppo onerose in rapporto alle garanzie per gli interessati. Il Garante ha completato un'analisi approfondita della problematica. In aggiunta alle misure di semplificazione disposte con decisioni per casi specifici, l'Autorita' ha intrapreso varie iniziative, anche sulla base di un dialogo con le categorie interessate, che ha gia' comportato l'approvazione di un provvedimento di carattere generale («Guida pratica e misure di semplificazione per le piccole e medie imprese», Provv. 24 maggio 2007, n. 21, in Gazzetta Ufficiale 21 giugno 2007, n. 142 e doc. web n. 1412271). Dall'istruttoria sono emerse tre valutazioni di fondo: a) alcune modalita' applicative, seguite soprattutto presso piccole imprese, liberi professionisti e artigiani, sono ancora basate su approcci prettamente burocratici e di ordine puramente formale. Istituti posti a garanzia degli interessati vengono banalizzati in contrasto con lo spirito del Codice che intende assicurare una protezione elevata dei diritti e delle liberta' fondamentali «nel rispetto dei principi di semplificazione, armonizzazione ed efficacia» (art. 2, comma 2). Da tali prassi conseguono adempimenti superflui o ripetuti inutilmente, talvolta anche per effetto di erronee valutazioni fornite in sede di consulenza, con oneri organizzativi da cui non deriva un reale valore aggiunto ai fini della correttezza e della trasparenza del trattamento e che gli interessati avvertono con disinteresse o fastidio; b) e' possibile apportare ulteriori semplificazioni (in particolare per agevolare la corrente attivita' gestionale di organismi pubblici e privati di ridotte dimensioni), in aggiunta a quelle gia' introdotte per legge o da questa Autorita' e in armonia con la disciplina complessiva, anche comunitaria, della materia, salvaguardando i diritti e le liberta' fondamentali dei cittadini; c) la protezione dei dati personali puo' rappresentare una risorsa, anche per piccole e medie imprese, rendere piu' efficiente l'attivita' gestionale e incrementare la fiducia degli interessati. L'Autorita' intende fornire un suo nuovo contributo in materia esercitando le attribuzioni che le sono conferite per legge. Con il presente provvedimento sono pertanto individuate soluzioni concrete volte ad agevolare ulteriormente l'ordinaria attivita' di gestione amministrativa e contabile, in modo particolare rispetto ai casi in cui non sono trattati dati di carattere sensibile o giudiziario. Di seguito, vengono quindi enunciate nuove linee guida-interpretative della normativa vigente e sono individuate alcune modalita' innovative per semplificare taluni adempimenti, in modo particolare per l'informativa agli interessati e il consenso. 2. L'informativa agli interessati. Diverse realta', specie imprenditoriali di piccole e medie dimensioni, trattano dati, anche in relazione a obblighi contrattuali, precontrattuali o di legge, esclusivamente per finalita' di ordine amministrativo e contabile (gestione di ordinativi, buste paga e di ordinaria corrispondenza con clienti, fornitori, realta' esterne di supporto anche in outsourcing, dipendenti); spesso, cio' accade in relazione a informazioni che non hanno carattere sensibile o giudiziario. Alcune tra le criticita' menzionate riguardano le modalita' con cui l'informativa e' fornita per iscritto, anziche' oralmente (art. 13). Sono stati formati spesso moduli lunghi e burocratici, privi di comunicativita' e basati sull'eccessivo uso di espressioni prettamente giuridiche, inidonee a far comprendere le caratteristiche principali del trattamento. Alla mancanza di chiarezza si e' sommata l'inutile ripetizione dell'informativa in occasione di ciascun contatto con gli interessati, frazionando le spiegazioni che andrebbero invece fornite in modo organico e possibilmente unitario. Il Garante intende prescrivere a tutti i titolari in ambito privato e pubblico alcune misure opportune e formulare indicazioni per semplificare l'informativa nei termini di cui al seguente dispositivo (articoli 2, comma 2, 13, commi 3 e 5 e 154, comma 1, lettera c)). 3. Il consenso. Il Garante, con riferimento al consenso (art. 23), considerati i principi di efficacia e proporzionalita' e in relazione agli articoli 2, 18, 24 comma 1 e 154, comma 1, lettera c), del Codice, intende anche prescrivere a tutti i titolari del trattamento pubblici e privati alcune misure opportune affinche' non richiedano il consenso nei vari casi in cui esso non deve essere richiesto (dai soggetti pubblici) o e' superfluo (per i soggetti privati). Cio', in particolare, quando: a) il trattamento dei dati in ambito privato e' svolto per adempiere a obblighi contrattuali o normativi o, comunque, per ordinarie finalita' amministrative e contabili; b) i dati trattati provengono da pubblici registri ed elenchi pubblici conoscibili da chiunque o sono relativi allo svolgimento di attivita' economiche dell'interessato (vedasi, per i presupposti relativi a ciascuno dei predetti casi, l'art. 24, comma 1; vedasi anche l'art. 18, comma 4). Il Garante, in applicazione dell'istituto del bilanciamento degli interessi (art. 24, comma 1, lettera g)) intende anche individuare un'ulteriore ipotesi nella quale il consenso non va richiesto. Il titolare del trattamento che abbia gia' venduto un prodotto o prestato un servizio a un interessato, nel quadro dello svolgimento di ordinarie finalita' amministrative e contabili, potra' utilizzare nei termini di cui al seguente dispositivo i recapiti (oltre che di posta elettronica, come gia' previsto per legge: art. 130, comma 4) di posta cartacea forniti dall'interessato medesimo, per inviare ulteriore suo materiale pubblicitario o promuovere una sua vendita diretta o per compiere sue ricerche di mercato o di comunicazione commerciale. Tale bilanciamento degli interessi considera le difficolta' rappresentate da alcuni operatori economici nel conservare un proprio diretto «canale comunicativo» con i soggetti con i quali abbiano gia' instaurato un rapporto contrattuale; tiene al tempo stesso conto del diritto dell'interessato a non essere disturbato mediante comunicazioni promozionali, in base a garanzie analoghe a quelle previste, per la situazione appena indicata, per l'uso della posta elettronica (art. 130, comma 4; vedasi anche, con riguardo alle comunicazioni postali, l'art. 58, comma 2, decreto legislativo n. 206/2005). Non e' necessario rivolgere un'istanza al Garante per avvalersi delle opportunita' previste dal presente punto 3. Viene infine dato atto nel seguente dispositivo di alcune altre risultanze dell'istruttoria relative alla designazione degli incaricati del trattamento e alla notificazione dei trattamenti. Tutto cio' premesso il Garante
1. Ai sensi degli articoli 2, comma 2, 13, commi 3 e 5 e 154, comma 1, lettera c), del Codice formula a tutti i titolari del trattamento in ambito privato e pubblico, in particolare a piccole e medie imprese, liberi professionisti, artigiani, le seguenti indicazioni per semplificare l'informativa rispetto allo svolgimento di correnti finalita' amministrative e contabili, anche in relazione all'adempimento di obblighi contrattuali, precontrattuali o normativi. Detti soggetti possono: a) fornire un'unica informativa per il complesso dei trattamenti, anziche' per singoli aspetti del rapporto con gli interessati; b) fornire a questi ultimi una ricostruzione organica dei trattamenti e con linguaggio semplice, senza frammentarla o reiterarla inutilmente; c) indicare le informazioni essenziali in un quadro adeguato di lealta' e correttezza; d) redigere, per quanto possibile, una prima informativa breve. All'interessato, anche oralmente, andrebbero indicate sinteticamente alcune prime notizie chiarendo subito, con immediatezza, le principali caratteristiche del trattamento. In linea di massima l'informativa breve, quando e' scritta, puo' avere la seguente formulazione: «I SUOI DATI PERSONALI
Utilizziamo - anche tramite collaboratori esterni - i dati che la riguardano esclusivamente per nostre finalita' amministrative e contabili, anche quando li comunichiamo a terzi. Informazioni dettagliate, anche in ordine al suo diritto di accesso e agli altri suoi diritti, sono riportate su......»; e) per l'informativa, specie per quella breve, si possono utilizzare gli spazi utili nel materiale cartaceo e nella corrispondenza che si impiegano gia', ordinariamente, per finalita' amministrative e contabili; f) l'informativa breve puo' rinviare a un testo piu' articolato, disponibile agevolmente senza oneri per gli interessati, in luoghi e con modalita' facilmente accessibili anche con strumenti informatici e telematici (in particolare, tramite reti Intranet o siti Internet, affissioni in bacheche o locali, avvisi e cartelli agli sportelli per la clientela, messaggi preregistrati disponibili digitando un numero telefonico gratuito). Anche questa piu' ampia informativa deve essere improntata a correttezza, tenendo conto di possibili modifiche del trattamento, ed essere basata su espressioni sintetiche, chiare e comprensibili. Le notizie da indicare per legge (art. 13, comma 1) devono essere aggiornate, specificando la data dell'ultimo aggiornamento; g) e' possibile non inserire nell'informativa piu' articolata gli elementi noti all'interessato (art. 13, commi 2 e 4). E' opportuno omettere riferimenti meramente burocratici o circostanze ovvie, per esempio quando alcune informazioni, compresi gli estremi identificativi del titolare, risultano da altre parti del documento in cui e' presente l'informativa. Vanno utilizzate espressioni efficaci, anche se sintetiche, anche per quanto riguarda i diritti degli interessati e l'organismo o soggetto al quale rivolgersi per esercitarli. Se e' prevista la raccolta di dati presso terzi e' possibile formulare una sola informativa per i dati forniti direttamente dall'interessato e per quelli che saranno acquisiti presso terzi. Per questi ultimi dati, l'informativa puo' non essere fornita quando vi e' un obbligo normativo di trattarli (art. 13, comma 5); h) e' opportuno che l'informativa piu' articolata sia basata su uno schema tendenzialmente uniforme per il settore di attivita' del titolare del trattamento; i) e' invece necessario fornire un'informativa specifica o ad hoc quando il trattamento ha caratteristiche del tutto particolari perche' coinvolge, ad esempio, peculiari informazioni (es. dati genetici) o prevede forme inusuali di utilizzazione di dati, specie sensibili, rispetto alle ordinarie esigenze amministrative e contabili, o puo' comportare rischi specifici per gli interessati (ad esempio, rispetto a determinate forme di uso di dati biometrici o di controllo delle attivita' dei lavoratori). Se il titolare del trattamento e' un soggetto pubblico devono essere inserite le indicazioni che la legge prevede per i dati sensibili e giudiziari. 2. Invita le associazioni di categoria a predisporre informative-tipo per determinati settori o categorie di trattamento, anche in collaborazione con questa Autorita'. Il Garante si riserva in questo quadro di porre a disposizione gratuita (chiedendo anche la collaborazione delle camere di commercio), un kit contenente concrete istruzioni e fac-simile per semplificare tutti gli adempimenti in materia. 3. Richiama l'attenzione dei titolari del trattamento sulla circostanza che la designazione degli incaricati del trattamento puo' avvenire in modo semplificato evitando singoli atti circostanziati relativi distintamente a ciascun incaricato, individuando i trattamenti di dati e le relative modalita' che sono consentiti all'unita' cui sono addetti gli incaricati stessi (art. 30). 4. Richiama l'attenzione dei titolari del trattamento sulla circostanza che, per effetto delle previsioni del Codice e delle determinazioni gia' adottate da questa Autorita', la notificazione telematica al Garante non e' necessaria per perseguire finalita' amministrative e contabili, salvo che per eventuali casi eccezionali indicati per legge (art. 37). 5. Ai sensi degli articoli 2, comma 2, 24 e 154, comma 1, lettera c), del Codice invita tutti i titolari del trattamento pubblici e privati a non chiedere il consenso degli interessati quando il trattamento dei dati e' svolto, anche in relazione all'adempimento di obblighi contrattuali, precontrattuali o normativi, esclusivamente per correnti finalita' amministrative e contabili, nonche' quando i dati provengono da pubblici registri ed elenchi pubblici conoscibili da chiunque, o sono relativi allo svolgimento di attivita' economiche o sono trattati da un soggetto pubblico. 6. In applicazione del principio del bilanciamento degli interessi (art. 24, comma 1, lettera g)), dispone che i titolari del trattamento in ambito privato che hanno venduto un prodotto o prestato un servizio, nel quadro del perseguimento di ordinarie finalita' amministrative e contabili, possono utilizzare senza il consenso i recapiti (oltre che di posta elettronica come gia' previsto per legge) di posta cartacea forniti dall'interessato, ai fini dell'invio diretto di proprio materiale pubblicitario o di propria vendita diretta o per il compimento di proprie ricerche di mercato o di comunicazione commerciale. Cio', rispettando anche le garanzie previste per le attivita' di profilazione degli interessati (Provv. 24 febbraio 2005, doc. web n. 1103045), a condizione che: a) tale attivita' promozionale riguardi beni e servizi del medesimo titolare e analoghi a quelli oggetto della vendita; b) l'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione effettuata per le menzionate finalita', sia informato della possibilita' di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente, anche mediante l'utilizzo della posta elettronica o del fax o del telefono e di ottenere un immediato riscontro che confermi l'interruzione di tale trattamento (art. 7, comma 4); c) l'interessato medesimo, cosi' adeguatamente informato gia' prima dell'instaurazione del rapporto, non si opponga a tale uso, inizialmente o in occasione di successive comunicazioni. 7. Dispone che copia del presente provvedimento sia trasmessa al Ministero della giustizia - Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana, nonche' alle associazioni di categoria, ai ministeri interessati e alle camere di commercio. Roma, 19 giugno 2008 Il presidente - relatore Pizzetti
Il segretario generale Buttarelli |