LA PRIVACY NELLA LA PRIVACY NELLA GESTIONE DELLE GESTIONE DELLE

ATTIVITA’ DI ATTIVITA’ DI MARKETING MARKETING

E NEI RAPPORTI E NEI RAPPORTI CONTRATTUALICONTRATTUALI

Le attività di marketingLe attività di marketingL’indirizzo di posta fisico, quello di posta elettronica, il L’indirizzo di posta fisico, quello di posta elettronica, il numero di telefono fisso e mobile sono informazioni di numero di telefono fisso e mobile sono informazioni di

carattere personale e come tali sono suscettibili di tutelacarattere personale e come tali sono suscettibili di tutela

Maggiori cautele in caso di utilizzo di “nuove” tecnologie per comunicazioni elettroniche

Approccio tecnologicamente neutro:

Stesse regole per messaggi promozionali inviati con Fax, Stesse regole per messaggi promozionali inviati con Fax, SMS, MMS, Posta elettronicaSMS, MMS, Posta elettronica

Lo spot del GARANTE DELLA

PRIVACY

Come devono comportarsi le imprese quando utilizzano dati personali ai fini :

dell’invio di materiale pubblicitario o

di vendita diretta o

per il compimento di ricerche di mercato o

di comunicazione commerciale

??

Primo adempimento:

““Informare i futuri destinatari dei messaggi sull’uso Informare i futuri destinatari dei messaggi sull’uso che si intende fare dei loro dati”che si intende fare dei loro dati” (Art. 13):

Finalità del trattamento (attività di marketing)

Quali soggetti ne potranno venire a conoscenza ( operatori incaricati materialmente dell’invio)

Diritti dell’interessato - possibilità di opporsi al trattamento (art. 7)

Fornire i recapiti dell’impresa ( divieto assoluto di inviare messaggi anonimi o comunque camuffando o celando l’identità del mittente – art. 130, c. 5)

L’informativa può essere fornita L’informativa può essere fornita anche oralmenteanche oralmente

Consigliabile in forma “scrittascritta” anche ai fini dell’onere della prova

Dovrà essere adatta al mezzo che si utilizza per adatta al mezzo che si utilizza per fornirlafornirla

Per informative particolarmente sintetiche può essere necessario rinvio a numero verdenumero verde o sito Internetsito Internet per informativa completa

Nell’informativa possono essere omessi elementi già omessi elementi già notinoti alla persona che fornisce i dati

Secondo adempimento:

““Niente deroghe al consenso se il messaggio Niente deroghe al consenso se il messaggio promozionale non è filtrato da un operatore promozionale non è filtrato da un operatore

((utilizzo di strumenti automatizzati di chiamata senza l’intervento di utilizzo di strumenti automatizzati di chiamata senza l’intervento di

un operatoreun operatore))”” (art. 130, c. 1)

Il consenso deve essere sempresempre richiesto primaprima dell’inizio del trattamento ed essere specificospecifico per

le finalità di marketing (Regola dell’Opt-InRegola dell’Opt-In)

Possibile deroga al consenso a seconda del mezzo utilizzato per l’invio del messaggio (art. 130, c. 3)

Per i mezzi tradizionali:

posta fisicaposta fisica o

telefonate effettuate da un operatoretelefonate effettuate da un operatore

il consenso non è necessario se si rientra nelle ipotesi elencate nell’art. 24.

In particolare per “dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque” (tali però in virtù di una esplicita previsione normativa).

Permane l’obbligo preventivo dell’InformativaPermane l’obbligo preventivo dell’Informativa

Art. 24 (Codice Privacy)(Casi nei quali può essere effettuato il trattamento senza consenso)

1. Il consenso non è richiesto […] quando il trattamento:

a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;

b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato;

c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati;

d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale;

e) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo.[…]

Terzo adempimento:

Assicurare che in ogni momento il destinatario Assicurare che in ogni momento il destinatario dei messaggi possa esercitare i diritti di cui dei messaggi possa esercitare i diritti di cui all’art. 7all’art. 7 (Diritti di accesso)

Opportuno nominare un Responsabile per rispondere Opportuno nominare un Responsabile per rispondere agli interessati agli interessati

Trascorsi 15 giorni15 giorni (30gg per casi complessi di riscontro) dalla richiesta l’interessato può

presentare ricorso al Garante

Regola dell’Opt-OutRegola dell’Opt-Out

I messaggi di posta elettronica possono I messaggi di posta elettronica possono essere inviati essere inviati ( (i dati possono essere utilizzati i dati possono essere utilizzati anche senza consenso anche senza consenso) )

fino a quando fino a quando l’interessato non manifesta una l’interessato non manifesta una

volontà contrariavolontà contraria

Potranno essere utilizzate solamente le coordinate di posta elettronica “fornite dallo stesso interessato nel contesto della vendita di un prodotto o di un servizio” della stessa impresa

Ulteriori limiti:

1. È escluso l’uso di dati raccolti da terzi o dallo stesso interessato al di fuori della vendita di prodotti/servizi dell’impresa

2. deve trattarsi di comunicazioni relative a “prodotti”/servizi propripropri ed analoghianaloghi a quelli oggetto della vendita

3. permangono gli obblighi di informativa e dei suoi contenuti

4. ad ogni comunicazione all’interessato deve essere comunicata la possibilità e le modalità di opporsi al trattamento

Provvedimento del Garante:

Utilizzo dei dati tratti da elenchi telefonici categoriciUtilizzo dei dati tratti da elenchi telefonici categorici

(Elenchi telefonici organizzati per categorie merceologiche/professionali)

<< I dati contenuti in tali elenchi sono di carattere commerciale e riguardano i rapporti consumatore azienda, impresa-impresa, cliente-professionista, cittadino-ente, le cui finalità sono differenti da quelle degli elenchi “alfabetici” degli abbonati ai servizi di telefonia fissa e mobile, il cui scopo è quello della comunicazione interpersonale >>

Conseguenze:

La differente finalità giustifica la differente disciplina: a La differente finalità giustifica la differente disciplina: a date condizioni è possibile utilizzare i categorici per alcune date condizioni è possibile utilizzare i categorici per alcune forme di contatto commerciale telefonico e postale forme di contatto commerciale telefonico e postale

(( art. 130, c. 3) art. 130, c. 3)

La Privacy nei contrattiLa Privacy nei contrattiL’attività di stipulazione di contratti necessariamente

implica un flusso di dati tra le parti (es. generalità, oggetto del contratto, …)

Le clausole contrattuali possono contenere informazioni sui contraenti o su terze parti

Fermo restando l’obbligo di informativa nei rapporti tra privati e/o enti pubblici economici

la regola generale prevede l’acquisizione del consenso preventivamentepreventivamente al trattamento dei dati (art. 23)

Relativamente al consensoconsenso il Codice Privacy prevede una norma di esonero applicabile specificatamente all’attivitàattività

contrattualecontrattuale in relazione al trattamento di da diversi da quelli sensibilidiversi da quelli sensibili.

Art. 24 (Casi nei quali può essere effettuato il trattamento senza consenso)

1. Il consenso non è richiesto, oltre che nei casi previsti nella Parte II, quando il trattamento:

…

b) [1] è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o [2] per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato;

Prima ipotesi di esonero

Devono ricorrere i seguenti elementi:

1. Necessarietà del trattamento;

2. Operazioni del trattamento finalizzate alla esecuzione degli obblighi contrattuali

L’esonero riguarda solosolo le parti interessate

Eventuali terzi soggetti che non hanno espresso il “consenso contrattuale” devono essere chiamati ad

esprimere il consenso informatoconsenso informato

Seconda ipotesi di esonero

Devono ricorrere i seguenti elementi:

1. Necessarietà del trattamento;

2. Richieste specifiche dell’interessato

In caso di mancanza di richiesta dell’interessato e unilaterale iniziativa di trattamento da parte

del titolare del trattamento

Ipotesi di proposta unilaterale che richiede la preventiva acquisizione del consenso

Esempio di trattamento in fase pre-contrattuale:

CurriculumCurriculum inviato ad impresa in allegato inviato ad impresa in allegato a lettera di a lettera di richiesta di assunzionerichiesta di assunzione

In tale ipotesi il titolare del trattamento adempie a specifiche richieste dell’interessato finalizzate alla gestione

della fase pre-contrattuale rispetto al contratto di lavoro:

il candidato chiede al datore di lavoro di conservare il curriculum al fine di poter essere contattato

nell’eventualità che il datore di lavoro voglia convocare l’interessato per un colloquio o altra procedura selettiva

Anche ricorrendo le circostanze di esonero del consenso in sede contrattuale:

Obbligo di informativa;

Obbligo di adozione delle misure minime di sicurezza previste dal codice.

L’obbligo del consenso preventivo, oltre che per i trattamenti di dati ordinari eccedenti i limiti delle ipotesi di esonero, scatta per il trattamento di dati sensibili

(art. 26)

EccezioneEccezione: trattamenti dati sensibili dei lavoratori in vigenza dell’Autorizzazione Generale n. 1

La Privacy nei rapporti con la La Privacy nei rapporti con la Pubblica AmministrazionePubblica Amministrazione

Le Pubbliche Amministrazioni possono omettere la richiesta di consenso, ma devono rimanere nei limiti delle loro funzioni istituzionali, attenendosi alle prescrizioni di

legge o di regolamento (art. 18)

L’impresa privata nel rapporto con la pubblica amministrazione può assumere una duplice veste

Soggetto interessato del trattamento

Collaboratore della PA

Impresa come interessato

Come qualsiasi altro interessato non è chiamata ad esprimere il consenso, ma può esercitare nei confronti della PA i diritti di accesso previsti dall’art. 7 e segg.

del Codice

Impresa come collaboratore della PA (concessionaria, affidataria di servizi, …)

Il rapporto potrebbe comportare il passaggio di dati personali dalla pubblica amministrazione all’impresa

Caso 1

Esiste una norma di legge o di regolamento che ammette il flusso di dati dalla PA al soggetto privato

Caso 2

Il trattamento da parte del privato avviene in assenza di legge o regolamento

CASO 2

L’impresa privata può operare con due modalità:

Collaboratore esterno della PA che coadiuva la PA trattando dati personali anche al di fuori della relativa struttura, ma nell’ambito di una attività che ricade nella sfera di titolarità e di responsabilità dell’amministrazione stessa.

L’impresa può utilizzare i dati per le sole finalità perseguite dalla PA in base alla norma che ne

prevede il trattamento

Si rende necessario:

Apposito atto scritto della PA che deve indicare, nei confronti del privato cui è stato demandato il trattamento, chi svolga l’eventuale ruolo del responsabile

Nomina dei dipendenti dell’impresa quali incaricati del trattamento.

L’impresa privata opera come figura soggettiva del tutto distinta dalla PA e decide autonomamente in ordine al trattamento delle informazioni e si assume in concreto ogni responsabilità in proposito

Il privato è un soggetto autonomo che deve trattare i dati in base alle regole previste per i soggetti privati e per gli enti pubblici economici ed è tenuto a valutare l’esigenza di richiedere il consenso agli interessati.