Slides semplificazioni Codice della privacy · materia di sicurezza richiesti dal Codice (artt. 33 e seguenti) e dal disciplinare tecnico (Allegato B del Codice), per cui in caso

LE RECENTI SEMPLIFICAZIONI AL LE RECENTI SEMPLIFICAZIONI AL LE RECENTI SEMPLIFICAZIONI AL LE RECENTI SEMPLIFICAZIONI AL CODICE DELLA PRIVACY: ATTUAZIONE CODICE DELLA PRIVACY: ATTUAZIONE CODICE DELLA PRIVACY: ATTUAZIONE CODICE DELLA PRIVACY: ATTUAZIONE

PRATICA IN AZIENDAPRATICA IN AZIENDAPRATICA IN AZIENDAPRATICA IN AZIENDA

Vicenza, 6 Ottobre 2011Vicenza, 6 Ottobre 2011Vicenza, 6 Ottobre 2011Vicenza, 6 Ottobre 2011

Prof. Prof. Prof. Prof. AvvAvvAvvAvv. . Alessandro del Ninno. . Alessandro del Ninno. . Alessandro del Ninno. . Alessandro del Ninno

[email protected]@[email protected]@tonucci.com

CONSIDERAZIONI INTRODUTTIVE

CONSIDERAZIONI INTRODUTTIVECONSIDERAZIONI INTRODUTTIVECONSIDERAZIONI INTRODUTTIVECONSIDERAZIONI INTRODUTTIVE

Nei mesi scorsi la normativa italiana sul trattamento dei dati personali ha subito rilevanti modifiche e aggiornamenti. Si va dal recente Decreto Sviluppo (decreto legge 13 maggio 2011 n. 70 convertito, con modificazioni, dalla legge 12 luglio 2011, n. 106) –che ha introdotto alcune “semplificazioni” all’impianto del Codice della privacy - fino alla nuova disciplina sul trattamento dei dati personali per finalità di marketing effettuato tramite telefono o posta ordinaria (con le nuove norme – per l’uso del telefono – di modifica dell’art. 130 del Codice della privacy e di attivazione del Registro delle Opposizioni prevista dal d.p.r. 178/2010 e quelle sul marketing postale contenute nel citato Decreto Sviluppo).

Inoltre, anche il Garante è intervenuto con l’adozione di alcuni Provvedimenti Generali di rilevante impatto organizzativo in azienda, come quello del 16.6.2011 sull’outsourcing delle attività di marketing (“Titolarità del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali”).

SEMPLIFICAZIONI NEI RAPPORTI CON LE IMPRESESEMPLIFICAZIONI NEI RAPPORTI CON LE IMPRESESEMPLIFICAZIONI NEI RAPPORTI CON LE IMPRESESEMPLIFICAZIONI NEI RAPPORTI CON LE IMPRESE

Art. 5 Art. 5 Art. 5 Art. 5 –––– comma 3comma 3comma 3comma 3----bis del Codice della privacybis del Codice della privacybis del Codice della privacybis del Codice della privacy

Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato effettuato effettuato effettuato nell'ambito di rapporti intercorrenti esclusivamente tra i nell'ambito di rapporti intercorrenti esclusivamente tra i nell'ambito di rapporti intercorrenti esclusivamente tra i nell'ambito di rapporti intercorrenti esclusivamente tra i medesimimedesimimedesimimedesimi soggetti per le finalitfinalitfinalitfinalitàààà amministrativo amministrativo amministrativo amministrativo ----contabilicontabilicontabilicontabili, come definite all'articolo 34, comma 1-ter, non è soggetto all'applicazione del presente codice.

CHE COSA SIGNIFICA IN PRATICA?


Intanto occorre delimitare con precisione delimitare con precisione delimitare con precisione delimitare con precisione il campo applicativo della semplificazione.

L’intera disciplina sul trattamento dei dati personali (informative, consenso, misure di sicurezza, notificazione dei trattamenti, etc) èèèè inapplicabileinapplicabileinapplicabileinapplicabile:

A.A.A.A. ai dati delle persone giuridiche in quanto ai dati delle persone giuridiche in quanto ai dati delle persone giuridiche in quanto ai dati delle persone giuridiche in quanto autonomamente considerati autonomamente considerati autonomamente considerati autonomamente considerati [più chiaramente, l’interessato - così come definito dall’art. 4, comma 1, lettara (i) del Codice della privacy è in questi casi “la persona giuridica, l’ente o l’associazione cui si riferiscono i dati personali”]


B.B.B.B. ai dati delle persone giuridiche che siano oggetto di trattamento in forza di un gidi un gidi un gidi un giàààà esistente rapporto esistente rapporto esistente rapporto esistente rapporto ““““intercorrente esclusivamente tra le aziende interessateintercorrente esclusivamente tra le aziende interessateintercorrente esclusivamente tra le aziende interessateintercorrente esclusivamente tra le aziende interessate””””(casi di esclusione: ricerca potenziali fornitori, comunicazione di dati di un impresa ad altre imprese da parte di un’azienda, etc);

C. C. C. C. ai dati delle persone giuridiche che siano oggetto di trattamento per finalitfinalitfinalitfinalitàààà amministrativo amministrativo amministrativo amministrativo ---- contabilicontabilicontabilicontabili, come come come come definite all'articolo 34, comma 1definite all'articolo 34, comma 1definite all'articolo 34, comma 1definite all'articolo 34, comma 1----ter.ter.ter.ter.

DEFINIZIONE DEFINIZIONE DEFINIZIONE DEFINIZIONE DIDIDIDI FINALITAFINALITAFINALITAFINALITA’’’’ AMMINISTRATIVOAMMINISTRATIVOAMMINISTRATIVOAMMINISTRATIVO----CONTABILICONTABILICONTABILICONTABILI

Già il Garante aveva provato a dare una definizione di “finalità amministrativo-contabili”, allora normativamente assente, chiarendo nel Provvedimento del 19.6.2008 (“Semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrative e contabili”) che:

“Diverse realtà, specie imprenditoriali di piccole e medie dimensioni, trattano dati, anche in relazione a obblighi contrattuali, precontrattuali o di legge, esclusivamente per finalitfinalitfinalitfinalitàààà di ordine amministrativo e contabile (gestione di ordine amministrativo e contabile (gestione di ordine amministrativo e contabile (gestione di ordine amministrativo e contabile (gestione di ordinativi, buste paga e di ordinaria corrispondenza con di ordinativi, buste paga e di ordinaria corrispondenza con di ordinativi, buste paga e di ordinaria corrispondenza con di ordinativi, buste paga e di ordinaria corrispondenza con clienti, fornitori, realtclienti, fornitori, realtclienti, fornitori, realtclienti, fornitori, realtàààà esterne di supporto anche in esterne di supporto anche in esterne di supporto anche in esterne di supporto anche in outsourcing, dipendentioutsourcing, dipendentioutsourcing, dipendentioutsourcing, dipendenti)”.


Ancora il Garante, aveva chiarito casi tipici di trattamenti dei dati personali per finalitàamministrativo-contabili:

“trattamenti con strumenti elettronici finalizzati alla gestione dell'autoparco aziendale, alle procedure di acquisto dei materiali di consumo, alla manutenzione degli immobili sociali” (F.A.Q. 24 del Provvedimento 27.11.2008 in tema di amministratori di sistema).


Ora è invece l’art. 34, comma 1-ter del Codice della privacy a fornire una definizione normativa (che era sistematicamente meglio inserire all’art. 4):

Ai fini dell'applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo - contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, aprescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all'adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all'applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro.

LE FINALITALE FINALITALE FINALITALE FINALITA’’’’ AMMINISTRATIVOAMMINISTRATIVOAMMINISTRATIVOAMMINISTRATIVO----CONTABILI COME CONTABILI COME CONTABILI COME CONTABILI COME PRESUPPOSTO PRESUPPOSTO PRESUPPOSTO PRESUPPOSTO DIDIDIDI VARIE IPOTESI VARIE IPOTESI VARIE IPOTESI VARIE IPOTESI DIDIDIDI

SEMPLIFICAZIONESEMPLIFICAZIONESEMPLIFICAZIONESEMPLIFICAZIONE

Di seguito è riportato un elenco di casi in cui il perseguimento di finalità amministrativo-contabili èèèè il il il il presupposto ipotesi di semplificazione diverse tra loropresupposto ipotesi di semplificazione diverse tra loropresupposto ipotesi di semplificazione diverse tra loropresupposto ipotesi di semplificazione diverse tra loro:

A. A. A. A. inapplicabilitinapplicabilitinapplicabilitinapplicabilitàààà del Codice della privacy ai dati delle persone giuridiche (art. 5-bis);B. B. B. B. Esclusione dellEsclusione dellEsclusione dellEsclusione dell’’’’obbligo di richiedere il consenso allobbligo di richiedere il consenso allobbligo di richiedere il consenso allobbligo di richiedere il consenso all’’’’interessato interessato interessato interessato nello specifico caso di “comunicazione” (non di “diffusione”) di dati (di qualsiasi interessatodi qualsiasi interessatodi qualsiasi interessatodi qualsiasi interessato) tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell'articolo 2359 c.c. ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e A.T.I. con i soggetti ad essi aderenti debitamente informati di tali finalità con l'informativa di cui all'articolo 13 [art. 24, comma 1, lettera i-ter)];

LE FINALITALE FINALITALE FINALITALE FINALITA’’’’ AMMINISTRATIVOAMMINISTRATIVOAMMINISTRATIVOAMMINISTRATIVO----CONTABILI COME CONTABILI COME CONTABILI COME CONTABILI COME PRESUPPOSTO PRESUPPOSTO PRESUPPOSTO PRESUPPOSTO DIDIDIDI VARIE IPOTESI VARIE IPOTESI VARIE IPOTESI VARIE IPOTESI DIDIDIDI

SEMPLIFICAZIONESEMPLIFICAZIONESEMPLIFICAZIONESEMPLIFICAZIONE

C. C. C. C. Autocertificazione in luogo del DPS e semplificazione Autocertificazione in luogo del DPS e semplificazione Autocertificazione in luogo del DPS e semplificazione Autocertificazione in luogo del DPS e semplificazione delle modalitdelle modalitdelle modalitdelle modalitàààà applicative del Disciplinare Tecnico applicative del Disciplinare Tecnico applicative del Disciplinare Tecnico applicative del Disciplinare Tecnico sulle misure minime di sicurezza – Allegato B al Codice della privacy [art. 34, comma 1-bis)];

D. Applicazione delle misure pratiche di semplificazione contenute nel ProvvedimentoProvvedimentoProvvedimentoProvvedimento del Garante privacy del del Garante privacy del del Garante privacy del del Garante privacy del 19 Giugno 2008.19 Giugno 2008.19 Giugno 2008.19 Giugno 2008.

COSA NON SONO LE FINALITACOSA NON SONO LE FINALITACOSA NON SONO LE FINALITACOSA NON SONO LE FINALITA’’’’ AMMINISTRATIVOAMMINISTRATIVOAMMINISTRATIVOAMMINISTRATIVO----CONTABILICONTABILICONTABILICONTABILI

Al di fuori dei casi di trattamento per finalitàamministrativo-contabili, vengono meno le semplificazioni e – per le persone giuridiche – la totale inapplicabilità del Codice della privacy.

Ciò può accadere :

A. nel trattamento di dati personali a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale (MarketingMarketingMarketingMarketing);

COSA NON SONO LE FINALITACOSA NON SONO LE FINALITACOSA NON SONO LE FINALITACOSA NON SONO LE FINALITA’’’’ AMMINISTRATIVOAMMINISTRATIVOAMMINISTRATIVOAMMINISTRATIVO----CONTABILICONTABILICONTABILICONTABILI

B. B. B. B. nel trattamento dei dati personali per finalitper finalitper finalitper finalitààààorganizzative esterneorganizzative esterneorganizzative esterneorganizzative esterne (es: trasferimento dei dati all’estero in Paesi extra-UE);

C. nel trattamento di dati personali per le valutazioni valutazioni valutazioni valutazioni preventivepreventivepreventivepreventive di affidabilità di aziende clienti o fornitrici

SEMPLIFICAZIONI IN MATERIA SEMPLIFICAZIONI IN MATERIA SEMPLIFICAZIONI IN MATERIA SEMPLIFICAZIONI IN MATERIA DIDIDIDI DPSDPSDPSDPS

LLLL’’’’AutocertificazioneAutocertificazioneAutocertificazioneAutocertificazione

L’art. 34, comma 1-bis – che era stato già modificato del d.l. 112/2008 (che aveva inopinatamente limitato la semplificazione limitato la semplificazione limitato la semplificazione limitato la semplificazione in materia di DPS al solo caso di esclusivo trattamento dei dati sanitari e sindacali di dipendenti e collaboratori – escludendoescludendoescludendoescludendo tutti gli altri dati sensibili e i dati giudiziari – prevede ora che:

Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari unici dati sensibili e giudiziari unici dati sensibili e giudiziari unici dati sensibili e giudiziari quelli relativi ai propri dipendentidipendentidipendentidipendenti e collaboratoricollaboratoricollaboratoricollaboratori, anche se extracomunitariextracomunitariextracomunitariextracomunitari, compresi quelli relativi al coniuge e ai parenticoniuge e ai parenticoniuge e ai parenticoniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza èèèè sostituitasostituitasostituitasostituitadall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del d.p.r. 445/2000, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dalcodice e dal disciplinare tecnico contenuto nell'allegato B).


I rischi connessi allI rischi connessi allI rischi connessi allI rischi connessi all’’’’autocertificazioneautocertificazioneautocertificazioneautocertificazione

L’autocertificazione sostitutiva deve essere sottoscritta dal titolare del trattamento (nel caso di società, dal rappresentante legale) e conservata presso la sede per essere esibita in caso di controlli, unitamente a fotocopia non autenticata di un documento di identitàdel sottoscrittore.

Il beneficio dell’autocertificazione tuttavia:



A. non esonera dall’adempimento degli altri obblighi in materia di sicurezza richiesti dal Codice (artt. 33 e seguenti) e dal disciplinare tecnico (Allegato B del Codice), per cui in caso di inosservanza delle restanti misure minime il titolare del trattamento sarà comunque tenuto a risponderne sul piano penale e amministrativo;



B. B. B. B. le imprese che intendano sostituire la tenuta del D.P.S. aggiornato con il beneficio dell’autocertificazione devono tener conto del concreto devono tener conto del concreto devono tener conto del concreto devono tener conto del concreto contesto di operativitcontesto di operativitcontesto di operativitcontesto di operativitàààà aziendale, indagando circa la aziendale, indagando circa la aziendale, indagando circa la aziendale, indagando circa la possibilitpossibilitpossibilitpossibilitàààà di svolgere attivitdi svolgere attivitdi svolgere attivitdi svolgere attivitàààà di trattamento di dati di trattamento di dati di trattamento di dati di trattamento di dati personali sensibili diversi da quelli indicati personali sensibili diversi da quelli indicati personali sensibili diversi da quelli indicati personali sensibili diversi da quelli indicati all’art. 34, comma 1-bis del Codice (dati sensibili e giudiziari di dipendenti, collaboratori, coniuge o parenti degli stessi) e, quindi, rilevante ai fini dell’obbligo del D.P.S., al fine al fine al fine al fine di non incorrere nelle conseguenze penali cui possono di non incorrere nelle conseguenze penali cui possono di non incorrere nelle conseguenze penali cui possono di non incorrere nelle conseguenze penali cui possono andare incontro i dichiaranti in caso di dichiarazioni andare incontro i dichiaranti in caso di dichiarazioni andare incontro i dichiaranti in caso di dichiarazioni andare incontro i dichiaranti in caso di dichiarazioni mendaci mendaci mendaci mendaci (art. 483 c.p.).



C. C. C. C. l’autocertificazione deve essere comunque deve essere comunque deve essere comunque deve essere comunque aggiornataaggiornataaggiornataaggiornata in caso contenga dati non più rispondenti a verità «l’esibizione della autocertificazione contenente dati non più rispondenti a verità equivale ad uso di atto falso» (art. 76, comma 2, D.P.R. 28 dicembre 2000, n. 445).D. D. D. D. infine, qualora intervengano variazioni in ordine alla variazioni in ordine alla variazioni in ordine alla variazioni in ordine alla tipologia dei dati utilizzati dal titolaretipologia dei dati utilizzati dal titolaretipologia dei dati utilizzati dal titolaretipologia dei dati utilizzati dal titolare, tali da far venir meno i presupposti dell’autocertificazione, il titolare ètenuto a predisporre il D.P.S. per non incorrere in sanzioni penali.

SEMPLIFICAZIONI NEI RAPPORTI CON I DIPENDENTISEMPLIFICAZIONI NEI RAPPORTI CON I DIPENDENTISEMPLIFICAZIONI NEI RAPPORTI CON I DIPENDENTISEMPLIFICAZIONI NEI RAPPORTI CON I DIPENDENTI

l’art. 13, comma 5-bis del Codice della privacy prevede che l’informativa non è più necessaria in caso di ricezione di curriculaspontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro.

Si è voluto tener conto del fatto che chi invia il curriculum per trovare lavoro certamente è disponibile all’utilizzo dei dati in esso contenuti da parte dell’impresa a cui si indirizza. LLLL’’’’informativa informativa informativa informativa dovrdovrdovrdovràààà essere fornita al candidato al momento del primo contatto essere fornita al candidato al momento del primo contatto essere fornita al candidato al momento del primo contatto essere fornita al candidato al momento del primo contatto successivo allsuccessivo allsuccessivo allsuccessivo all’’’’invio del curriculuminvio del curriculuminvio del curriculuminvio del curriculum. In questo caso il titolare può fornire all’interessato, anche oralmente, un’informativa breve che, in questo specifico caso, deve contenere:

• le finalità e le modalità del trattamento;• i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati;• gli estremi del titolare e del responsabile.

SEMPLIFICAZIONI NEI RAPPORTI CON I DIPENDENTISEMPLIFICAZIONI NEI RAPPORTI CON I DIPENDENTISEMPLIFICAZIONI NEI RAPPORTI CON I DIPENDENTISEMPLIFICAZIONI NEI RAPPORTI CON I DIPENDENTI(Consenso)(Consenso)(Consenso)(Consenso)

L’art. 24 del Codice già stabiliva in proposito alcuni casi in cui il consenso dell’interessato non è necessario. Il decreto sviluppo è intervenuto ampliando dette cause di esclusione, ora il consenso non è più necessario anche:

A. A. A. A. nelle comunicazioni di dati infranelle comunicazioni di dati infranelle comunicazioni di dati infranelle comunicazioni di dati infra----gruppo gruppo gruppo gruppo tra società, enti o associazioni con società controllanti, controllate o collegate ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanee di - imprese con i soggetti ad essi aderenti per finalitàamministrativo-contabili;B. B. B. B. nei trattamenti dei dati dei nei trattamenti dei dati dei nei trattamenti dei dati dei nei trattamenti dei dati dei curriculacurriculacurriculacurricula ricevuti spontaneamente ricevuti spontaneamente ricevuti spontaneamente ricevuti spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro. LLLL’’’’esonero dal consenso riguarda dati comuni esonero dal consenso riguarda dati comuni esonero dal consenso riguarda dati comuni esonero dal consenso riguarda dati comuni [art. 24, comma 1, lett. i[art. 24, comma 1, lett. i[art. 24, comma 1, lett. i[art. 24, comma 1, lett. i----bisbisbisbis)] e sensibili eventualmente contenuti )] e sensibili eventualmente contenuti )] e sensibili eventualmente contenuti )] e sensibili eventualmente contenuti nei nei nei nei curriculacurriculacurriculacurricula stessi stessi stessi stessi [art. 26, comma 3, lett. B-bis)].

SEMPLIFICAZIONE VS. COMPLICAZIONESEMPLIFICAZIONE VS. COMPLICAZIONESEMPLIFICAZIONE VS. COMPLICAZIONESEMPLIFICAZIONE VS. COMPLICAZIONE

Una tendenza in atto è quella del susseguirsi di tentativi tentativi tentativi tentativi di semplificazione normativa del Legislatore di semplificazione normativa del Legislatore di semplificazione normativa del Legislatore di semplificazione normativa del Legislatore alla disciplina sul trattamento dei dati personali a cui corrisponde una proliferazione dei Provvedimenti proliferazione dei Provvedimenti proliferazione dei Provvedimenti proliferazione dei Provvedimenti Generali del Garante Generali del Garante Generali del Garante Generali del Garante in vari settori dalla cui lettura emergono prescrizioni e adempimenti che appaiono addirittura ulteriori rispetto agli stessi vincoli contenuti nelle norme.


Esempi: la nomina del Responsabile del trattamentoEsempi: la nomina del Responsabile del trattamentoEsempi: la nomina del Responsabile del trattamentoEsempi: la nomina del Responsabile del trattamento

Da sempre – anche sotto il vigore della legge 675/96 – la la la la nomina di uno o pinomina di uno o pinomina di uno o pinomina di uno o piùùùù responsabili del trattamento responsabili del trattamento responsabili del trattamento responsabili del trattamento èèèè non non non non obbligatoria ma facoltativa.obbligatoria ma facoltativa.obbligatoria ma facoltativa.obbligatoria ma facoltativa.

Eppure, la lettura di più di un Provvedimento Generale del Garante sembra far emergere un obbligo specifico sembra far emergere un obbligo specifico sembra far emergere un obbligo specifico sembra far emergere un obbligo specifico di detta nominadi detta nominadi detta nominadi detta nomina, come ad esempio nel recente Provvedimento generale intitolato “Titolarità del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali” del 15 giugno 2011:


Esempi: la nomina del Responsabile del trattamentoEsempi: la nomina del Responsabile del trattamentoEsempi: la nomina del Responsabile del trattamentoEsempi: la nomina del Responsabile del trattamento

“Il Garante dispone che tutti i preponenti, che sono titolari del trattamento in quanto, ai sensi di cui in motivazione, svolgono le attività proprie di tale qualifica, procedano, entro 60 giorni dalla procedano, entro 60 giorni dalla procedano, entro 60 giorni dalla procedano, entro 60 giorni dalla pubblicazione del presente provvedimento sulla pubblicazione del presente provvedimento sulla pubblicazione del presente provvedimento sulla pubblicazione del presente provvedimento sulla Gazzetta Ufficiale, a designare le societGazzetta Ufficiale, a designare le societGazzetta Ufficiale, a designare le societGazzetta Ufficiale, a designare le societàààà ovvero i ovvero i ovvero i ovvero i soggetti terzi che agiscono in outsourcing, responsabili soggetti terzi che agiscono in outsourcing, responsabili soggetti terzi che agiscono in outsourcing, responsabili soggetti terzi che agiscono in outsourcing, responsabili del trattamento del trattamento del trattamento del trattamento ai sensi e per gli effetti degli artt. 4, comma 1, lett. g) e 29, commi 4 e 5 del Codice”.(sanzione da 30 a 180mila Euro)(sanzione da 30 a 180mila Euro)(sanzione da 30 a 180mila Euro)(sanzione da 30 a 180mila Euro)


Esempi: gli ulteriori elementi obbligatori Esempi: gli ulteriori elementi obbligatori Esempi: gli ulteriori elementi obbligatori Esempi: gli ulteriori elementi obbligatori delldelldelldell’’’’informativa ex art. 13 del Codice della privacyinformativa ex art. 13 del Codice della privacyinformativa ex art. 13 del Codice della privacyinformativa ex art. 13 del Codice della privacy

Oltre agli elementi obbligatori contenuti nell’art. 13 del Codice della privacy, si potrebbe incorrere nella sanzione di inidonea informativa (da 6 a 36mila Euro) anche nel caso di mancanza di taluni elementi informativi ulteriori previsti da vari provvedimenti del Garante, come:

A. A. A. A. il provvedimento su email e Internet del 1° marzo 2007;B. B. B. B. il provvedimento sulla Videosorveglianza dell’8 aprile 2010;C. C. C. C. il provvedimento sugli amministratori di sistema.

IL MARKETING DELLE AZIENDEIL MARKETING DELLE AZIENDEIL MARKETING DELLE AZIENDEIL MARKETING DELLE AZIENDE

Il sistema optIl sistema optIl sistema optIl sistema opt----out per il marketing telefonico e postaleout per il marketing telefonico e postaleout per il marketing telefonico e postaleout per il marketing telefonico e postale

La versione da ultimo vigente dell’art. 130, comma 3-bisdel Codice della privacy prevede che:

In deroga a quanto previsto dall'articolo 129, il trattamento dei dati di cui all'articolo 129, comma 1, mediante l'impiego del telefono e della posta cartacea per mediante l'impiego del telefono e della posta cartacea per mediante l'impiego del telefono e della posta cartacea per mediante l'impiego del telefono e della posta cartacea per le finalitle finalitle finalitle finalitàààà di cui all'articolo 7, comma 4, lettera b), di cui all'articolo 7, comma 4, lettera b), di cui all'articolo 7, comma 4, lettera b), di cui all'articolo 7, comma 4, lettera b), èèèèconsentito nei confronti di chi non abbia esercitato il consentito nei confronti di chi non abbia esercitato il consentito nei confronti di chi non abbia esercitato il consentito nei confronti di chi non abbia esercitato il diritto di opposizionediritto di opposizionediritto di opposizionediritto di opposizione, con modalità semplificate e anche in via telematica, mediante l'iscrizione della numerazione della quale è intestatario e degli altri dati personali di cui all'articolo 129, comma 1 in un registro pubblico delle opposizioni.


Il Registro delle opposizioniIl Registro delle opposizioniIl Registro delle opposizioniIl Registro delle opposizioni

In base al d.p.r. 178/2010, a partire dal 1 Febbario 2011 gli abbonati agli elenchi telefonici pubblici abbonati agli elenchi telefonici pubblici abbonati agli elenchi telefonici pubblici abbonati agli elenchi telefonici pubblici che non vogliono più ricevere chiamate dagli operatori per attivitàcommerciali, promozionali o per il compimento di ricerche di mercato tramite l’uso del telefono o della posta cartacea, possono “opporsi” alle telefonate indesiderate iscrivendosi al Registro Pubblico delle Opposizioni.

Rispetto al precedente impianto normativo basato sull’opt-in – che non ammetteva il contatto telefonico o postale nei confronti di quanti non avessero preventivamente fornito il proprio consenso – il legislatore ha privilegiato il sistema dell’opt-out.



Ciascun abbonato – sia persona fisica sia persona giuridica, ente o associazione – il cui numero telefonico il cui numero telefonico il cui numero telefonico il cui numero telefonico èèèè presentepresentepresentepresente negli elenchi telefonici pubblicinegli elenchi telefonici pubblicinegli elenchi telefonici pubblicinegli elenchi telefonici pubblici, può richiedere al Gestore l’iscrizione gratuita nel Registro Pubblico delle Opposizioni.

È importante ricordare che il Registro Pubblico delle Opposizioni mette llll’’’’abbonato al riparo dalle chiamate abbonato al riparo dalle chiamate abbonato al riparo dalle chiamate abbonato al riparo dalle chiamate indesiderateindesiderateindesiderateindesiderate degli operatori che utilizzano come fonte degli operatori che utilizzano come fonte degli operatori che utilizzano come fonte degli operatori che utilizzano come fonte dei propri contatti gli elenchi telefonici pubblicidei propri contatti gli elenchi telefonici pubblicidei propri contatti gli elenchi telefonici pubblicidei propri contatti gli elenchi telefonici pubblici.



L’iscrizione di un abbonato nel Registro non esclude il non esclude il non esclude il non esclude il trattamento dei suoi dati per finalittrattamento dei suoi dati per finalittrattamento dei suoi dati per finalittrattamento dei suoi dati per finalitàààà di marketing di marketing di marketing di marketing da parte dei singoli soggetti che abbianoche abbianoche abbianoche abbiano raccolto i dati raccolto i dati raccolto i dati raccolto i dati ––––forniti consenzientemente dagli abbonati forniti consenzientemente dagli abbonati forniti consenzientemente dagli abbonati forniti consenzientemente dagli abbonati –––– da fonti da fonti da fonti da fonti diverse dagli elenchi telefonici pudiverse dagli elenchi telefonici pudiverse dagli elenchi telefonici pudiverse dagli elenchi telefonici pubblici (per esempio tessere di fidelizzazione, tessere per raccolta punti, promozioni, eccetera), purché ciò sia avvenuto nel rispetto della normativa vigente.


Cosa deve fare l'Operatore per effettuare marketing Cosa deve fare l'Operatore per effettuare marketing Cosa deve fare l'Operatore per effettuare marketing Cosa deve fare l'Operatore per effettuare marketing telefonico o postale lecitamente.telefonico o postale lecitamente.telefonico o postale lecitamente.telefonico o postale lecitamente.

L'Operatore è qualunque soggetto, persona fisica o giuridica, che intende avviare, mediante l’impiego del telefono conconconcon addetto persona fisica addetto persona fisica addetto persona fisica addetto persona fisica che effettua la telefonata (è escluso dunque il fax marketing, che rimane opt-in), attività a scopo commerciale, promozionale o ricerche di mercato. L’entrata in vigore del Registro Pubblico delle Opposizioni obbliga obbliga obbliga obbliga llll’’’’Operatore a registrarsi al sistema e a comunicare Operatore a registrarsi al sistema e a comunicare Operatore a registrarsi al sistema e a comunicare Operatore a registrarsi al sistema e a comunicare lalalala lista dei numeri che intende contattarelista dei numeri che intende contattarelista dei numeri che intende contattarelista dei numeri che intende contattare, pena incorrere nelle sanzioni previste dal Codice della Privacy



Gli operatori che intendono contattare gli abbonati presenti negli elenchi telefonici pubblici per attivitàcommerciali, promozionali o per il compimento di ricerche di mercato tramite l’uso del telefono o della posta ordinaria, sono tenuti a registrarsi al sistema gestito dalla Fondazione Ugo Bordoni - Gestore del servizio – e a comunicare la lista dei numeri/indirizzi che intendono contattare. Il Gestore mettendo a confronto le informazioni contenute nel Registro delle Opposizioni e la lista dei numeri/indirizzi fornita dall’Operatore, cancellerà da quest’ultima tutti i numeri degli abbonati che hanno richiesto di non essere contattati.



La lista aggiornata dal Gestore - ovvero “filtrata” dai numeri telefonici e dagli indirizzi degli abbonati che si sono iscritti al Registro Pubblico delle Opposizioni -sarà messa a disposizione dell’Operatore entro 24 ore dalla richiesta e avrà validità di 15 giorni, per consentire così il continuo aggiornamento dell'elenco delle opposizioni.Per registrarsi al sistema di aggiornamento delle liste (presentazione dell'istanza) l'operatore deve aderire alle condizioni generali di contratto. Le tariffe di accesso al servizio sono regolate dal d.m. 22.12.2010.



La procedura di cui sopra (presentazione dell'istanza con modulo elettronico, invio e aggiornamento delle liste, pagamento di un fondo volto a costituire il credito, etc) si svolge totalmente on-line sull'Area Riservata agli Operatori disponibile sul sito www.registrodelleopposizioni.it


A quali utenze si applica la nuova disciplina.A quali utenze si applica la nuova disciplina.A quali utenze si applica la nuova disciplina.A quali utenze si applica la nuova disciplina.

Esclusivamente alle utenze inserite negli elenchi telefonici pubblici per le quali il titolare abbia effettuato l'iscrizione nel Registro Pubblico delle Opposizioni.

Le utenze tratte da elenchi telefonici pubblici non iscritte nel Registro delle Opposizioni possono essere liberamente utilizzate senza dover richiedere il consenso preventivo solo dopo che il Gestore del Servizio abbia restituito le liste inviate dall'operatore "depurate" dai numeri telefonici iscritti.


A quali ambiti non si applica la nuova disciplina.A quali ambiti non si applica la nuova disciplina.A quali ambiti non si applica la nuova disciplina.A quali ambiti non si applica la nuova disciplina.

La nuova disciplina non si applica:

• ai dati personali tratti da fonti diverse dagli elenchi ai dati personali tratti da fonti diverse dagli elenchi ai dati personali tratti da fonti diverse dagli elenchi ai dati personali tratti da fonti diverse dagli elenchi telefonici pubblicitelefonici pubblicitelefonici pubblicitelefonici pubblici il trattamento commerciale/promozionale dei quali resta basato sull'opt-in (consenso preventivo, specifico e informato, ad esempio acquisito nell'ambito di contratti, ordini commerciali, form on-line, etc);• alle comunicazioni per finalitalle comunicazioni per finalitalle comunicazioni per finalitalle comunicazioni per finalitàààà commerciali, promozionali o commerciali, promozionali o commerciali, promozionali o commerciali, promozionali o per il compimento di ricerche di mercatoper il compimento di ricerche di mercatoper il compimento di ricerche di mercatoper il compimento di ricerche di mercato effettuate tramite effettuate tramite effettuate tramite effettuate tramite email email email email (la normativa resta basata sull'opt-in e sul consenso preventivo, specifico e informato preventivamente acquisito secondo le norme del Codice della privacy);



• alle comunicazioni per finalità commerciali, promozionali o per il compimento di ricerche di mercato effettuate tramite fax effettuate tramite fax effettuate tramite fax effettuate tramite fax (la normativa resta basata sull'opt-in e sul consenso preventivo, specifico e informato preventivamente acquisito secondo le norme del Codice della privacy);



• alle comunicazioni per finalità commerciali, promozionali o per il compimento di ricerche di mercato effettuate tramite sms o mms effettuate tramite sms o mms effettuate tramite sms o mms effettuate tramite sms o mms (la normativa resta basata sull'opt-in e sul consenso preventivo, specifico e informato preventivamente acquisito secondo le norme del Codice della privacy);

• alle comunicazioni per finalità commerciali, promozionali o per il compimento di ricerche di mercato effettuate tramite telefono senza intervento di telefono senza intervento di telefono senza intervento di telefono senza intervento di operatore, come ad esempio dischi automatici operatore, come ad esempio dischi automatici operatore, come ad esempio dischi automatici operatore, come ad esempio dischi automatici oooo comunicazioni precomunicazioni precomunicazioni precomunicazioni pre----registrate registrate registrate registrate (la normativa resta basata sull'opt-in).


SanzioniSanzioniSanzioniSanzioni

In caso di trattamento di dati personali effettuato in violazione delle nuove norme (cioè in caso di contatto telefonico o postale promozionale utilizzando recapiti tratti da elenchi pubblici ma inseriti nel Registro delle Opposizioni) èèèè applicata in ogni caso la sanzione del applicata in ogni caso la sanzione del applicata in ogni caso la sanzione del applicata in ogni caso la sanzione del pagamento di una somma da diecimila euro a pagamento di una somma da diecimila euro a pagamento di una somma da diecimila euro a pagamento di una somma da diecimila euro a centoventimila euro.centoventimila euro.centoventimila euro.centoventimila euro.

GRAZIE PER L’ATTENZIONE

Prof. Avv. Alessandro del Ninno

[email protected]@luiss.it

Documents

Slides semplificazioni Codice della privacy · materia di sicurezza richiesti dal Codice (artt. 33 e seguenti) e dal disciplinare tecnico (Allegato B del Codice), per cui in caso