Nella Gazzetta Ufficiale del 13 maggio 2011 è stato pubblicato il decreto-legge 13 maggio 2011, n.70 (“Semestre europeo-Prime disposizioni urgenti per l’economia”, altrimenti detto “decreto-sviluppo”), che è entrato in vigore il 14 maggio.
Il decreto-sviluppo reca, tra l’altro, “ulteriori riduzioni e semplificazioni degli adempimenti burocratici” (art. 6), con particolare riguardo alla normativa sulla tutela dei dati personali.
Riportiamo l’analisi che ne fa l’ANIA.
Il principio ispiratore delle modifiche a detta normativa è contenuto nell’art. 6, comma 1, lett. a), in base al quale “in corretta applicazione della normativa europea le comunicazioni relative alla riservatezza dei dati personali sono limitate alla tutela dei cittadini, conseguentemente non trovano applicazione nei rapporti tra imprese”. Tale affermazione sembra far riferimento, in particolare, alla direttiva comunitaria n. 95/46/CE, sulla tutela dei dati personali, che effettivamente non contempla nel suo campo di applicazione le persone giuridiche, lasciando peraltro agli Stati membri la possibilità di una loro inclusione. La “ratio” della nuova norma è quella di ridurre e semplificare gli adempimenti attualmente posti a carico delle imprese.
1. Sulla base di questo principio va quindi letto il successivo comma 2, lett. a), n. 1), del citato art. 6, che aggiunge un comma 3-bis all’art. 5 del codice in materia di protezione dei dati personali. Secondo tale norma “Il trattamento dei dati personali relativi alle persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per finalità amministrativo-contabili, come definite all’articolo 34, comma 1-ter, non è soggetto all’applicazione del …… codice”.
La richiamata definizione di “trattamento effettuato per finalità amministrativo contabili”, introdotta dall’art. 6, comma 2, lett. a), n. 5, è molto ampia, facendo riferimento alle “attività di natura organizzativa, amministrativa, finanziaria e contabile” e specificandole poi come le “attività organizzative interne” e quelle “funzionali all’adempimento di obblighi contrattuali e precontrattuali”, indipendentemente dalla natura dei dati trattati.
Sebbene la definizione, per quanto molto ampia, non risulti del tutto chiara ad una prima lettura, sul piano operativo sembra comunque possibile ritenere che la nuova previsione esoneri le imprese assicuratrici dall’obbligo di fornire l’informativa precontrattuale a persone giuridiche, imprese (individuali o in forma societaria), enti e associazioni, oltre a esonerarle certamente dall’applicazione del Codice “privacy” nel caso di rapporti intercorrenti con fornitori di beni o servizi.
Tale esonero non dovrebbe estendersi ai trattamenti per finalità di tipo promozionale.
Tuttavia, tenuto conto che risulterebbe una posizione contraria del Garante per la protezione dei dati personali e che modifiche potrebbero essere apportate al decreto nella fase di conversione in legge, sembra consigliabile che le imprese attendano la conferma delle disposizioni esaminate nel presente punto prima di cambiare le procedure attualmente in essere. L’Associazione, da parte sua, seguirà con la massima attenzione l’esito delle predette disposizioni nel corso dell’iter parlamentare di conversione sostenendone il mantenimento, anche in coordinamento con le altre Associazioni di categoria.
2. Interessante risulta anche l’art. 6, comma 2, lett. a), n. 3, in particolare laddove introduce nell’art. 24, comma 1, del Codice “privacy” una nuova causa di esonero dall’obbligo di acquisire il consenso dell’interessato in caso di trattamento di dati personali comuni: si tratta della lettera i-ter), secondo cui il consenso non è necessario – ad eccezione del caso di diffusione e fatto salvo quanto previsto dall’art. 130 dello stesso Codice in tema di comunicazioni “indesiderate” – per la comunicazione dei dati tra le imprese (comprese quelle assicuratrici) e le società controllanti, controllate e collegate nonché le società sottoposte a comune controllo (espressione di per sé non chiara, che probabilmente si riferisce alle partecipazioni paritetiche al 50% e/o alle società controllate dalla stessa impresa), purché la comunicazione sia giustificata da finalità amministrativo-contabili (la cui definizione abbiamo già trattato al precedente punto1) e dette finalità siano espressamente indicate nell’informativa. Lo stesso esonero vale anche per “consorzi, reti di imprese e raggruppamenti e associazioni temporanee di imprese”, e possiamo ritenere, considerata l’ampiezza della previsione, anche per le imprese che assumano rischi in coassicurazione.
3. Vanno segnalate anche le modifiche apportate al comma 1-bis dell’art. 34 del Codice “privacy” (v. art. 6, comma 2, lett. a), n. 6), che peraltro non ne cambiano la “ratio”, ma precisano, in particolare, che l’autocertificazione è sufficiente, in luogo del documento programmatico sulla sicurezza (DPS), per le imprese che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari “quelli relativi ai propri dipendenti e collaboratori”, qualunque sia il contenuto di tali dati.
4. Nell’art. 6, comma 2, lett. a), n. 6, sono apportate modifiche all’art. 130, comma 3-bis, del Codice “privacy” – in merito al quale ci riserviamo di tornare successivamente con apposita comunicazione – estendendo l’ambito di applicazione del c.d. registro pubblico delle opposizioni di cui al D.P.R. 7 settembre 2010, n. 178, anche all’uso della “posta cartacea” oltre che all’impiego del telefono. L’innovazione comporterà cambiamenti nell’organizzazione e nel funzionamento del suddetto registro e pertanto al momento non è ancora operativa.
5. Da ultimo, vanno segnalate le modifiche (art. 6, comma 2, lett. a), nn. 2, 3 e 4) che consentiranno agli uffici del personale di qualunque azienda di trattare i dati personali contenuti nei “curricula” ad essi spontaneamente inviati limitandosi a fornire agli interessati, anche oralmente, una “informativa breve” (che può essere limitata alle finalità e modalità del trattamento, all’ambito di comunicazione e diffusione dei dati, all’indicazione del titolare del trattamento e dell’eventuale responsabile per l’esercizio del diritto di accesso ai dati), prescindendo dal consenso per il trattamento dei dati in parola anche allorché si tratti di dati sensibili.