Il Garante della privacy ha
riassunto quelli che sono gli aspetti più salienti della normativa in
materia di privacy in una guida ai fini di una semplificazione delle
procedure per le piccole e medie aziende.
Analizziamo insieme i punti trattati:
1) Un contenuto importante affrontato nella Guida è quello relativo alle
famigerate informative: l’informativa si ribadisce dover essere un
documento estremamente chiaro, reso in modo sintetico e prima delle
operazioni di trattamento.
Nel rapporto con fornitori, clienti, dipendenti e collaboratori non è
necessario ripeterla in occasione di ogni contatto: è sufficiente
fornirla con una formula generale una tantum, all''inizio delle operazioni
di trattamento (che potranno anche protrarsi nel tempo).
Poiché la maggior difficoltà per le imprese non è tanto la redazione
della informativa, quanto le procedure di rilascio, il Garante, a tal
proprosito, sottolinea, che è possibile fornire l''informativa anche
oralmente, in modo sintetico e colloquiale, o utilizzando uno spazio
all''interno dell''ordinario materiale cartaceo e della corrispondenza.
Quest’ultima cosa sembra sicuramente più interessante della prima, visto che
il legislatore sposta sul titolare l’onere di provare di aver
adeguatamente informato l’interessato, ovvero il soggetto di cui si
trattano i dati. La forma orale di rilascio male si concilia il poter
provare successivamente di aver adempiuto all’obbligo normativo. Ecco
perché, come più volte consigliato ai clienti che si sono affidati ad
Axential per la gestione dell’adeguamento alla privacy, l’informativa
comunque converrebbe sempre rilasciarla per iscritto: per e-mail, per fax,
nei contratti, nel retro-fattura, purché si possa sempre documentare o
provare attraverso il personale che ne gestisce la distribuzione
nell’impresa.
Certo è che ancora una volta emerge chiaramente come non possa costituire
informativa la classica dizione che si legge troppo spesso nei documenti di
raccolta dati, ovvero "I Suoi dati saranno trattati nel rispetto della
normativa vigente e secondo correttezza." Questa frase non è una
informativa, non è per niente rilevante in materia di rilascio di
informativa e qualora non sia accompagnata da quanto previsto dal
legislatore a livello di informazioni, comporta certamente una punibilità
per mancata o inidonea informativa (si può arrivare a 90.000 euro in caso di
dati sensibili!!!!).
2) Un altro aspetto affrontato è quello poi relativo alla gestione dei
consensi: stop nelle imprese a tutte queste informative che circolano in
cerca di consenso!!! La nuova legge ormai in vigore dal primo gennaio 2004
prevede che in caso di accordi contrattuali tra le parti, obblighi di
legge al rilascio dei dati e dati provenienti da registri pubblici, non
sussista assolutamente l’obbligo di richiedere il consenso al trattamento.
Pertanto l’informativa che ci arriva da cliente/fornitore richiedendo il
consenso al trattamento non deve assolutamente essere restituita firmata: è
solo tempo buttato!!!!
A meno che, e mi riferisco ai dati provenienti da pubblici registri, non
iniziamo un trattamento commerciale, ossia telefonate per proporre prodotti
o servizi, invio di comunicazioni commerciali a mezzo e-mail, etc, in tali
casi il consenso è necessario.
3) Un ulteriore aspetto affrontato nella guida, ma che solitamente si
tralascia nelle aziende è l’adempimento relativo alla Notifica. Esso
consiste in una dichiarazione con la quale il titolare del trattamento,
prima di iniziarlo, rende nota al Garante (che la inserisce nel registro
pubblico dei trattamenti consultabile da chiunque sul sito web
dell''Autorità) l''esistenza di un''attività di raccolta e di utilizzazione
dei dati personali.
Sembra quasi che non ci tocca perché non rientriamo nei casi enunciati
dall’art. 37 del decreto, ma non è sempre così. L’art. 37, comma d,
contempla: “dati trattati con l''ausilio di strumenti elettronici volti a
definire il profilo o la personalità dell''interessato, o ad analizzare
abitudini o scelte di consumo (c.d. profilazione), ovvero a monitorare
l''utilizzo di servizi di comunicazione elettronica con esclusione dei
trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli
utenti”, ciò non è lontano dal dire CRM, ossia la logica che si sta
diffondendo sia nelle piccole e sia nelle grandi aziende, di mettere il
cliente al centro e conoscerlo sempre meglio per operare su di lui azioni
continue e più capillari da un punto di vista commerciale. Pertanto
guardiamo bene ai trattamenti che svolgiamo e valutiamo la possibilità di
notificare per dormire sonni tranquilli!
4) Viene affrontata anche la questione del trasferimento di dati
personali in paesi terzi. In un mercato internazionalizzato mi sembra
doveroso porre l’attenzione anche su questo aspetto. Visitando un po’ di
aziende, lo riscontro frequentemente. Anche in questo caso ci sono delle
regole da rispettare. Nello svolgimento dell''attività di impresa può
risultare necessario trasferire dati personali fuori dell''Unione europea
(ad esempio relativi alla clientela o ai dipendenti). In tal caso la
comunicazione dei dati personali e non verso Paesi fuori dall’Unione Europea
va disciplinata con la richiesta del consenso all’interessato. Pertanto, se
la nostra azienda lavora con l’estero, non c’è cosa più semplice che rendere
palese questo trattamento richiedendo il consenso per la comunicazione dei
dati verso taluni Paesi.
5) Ultimo aspetto saliente è quello relativo al riscontro a seguito di
istanza dell’interessato: molti tralasciano l’obbligo di dare riscontro
all’interessato entro 15 giorni decorrenti dalla ricezione dell’istanza.
Ed in questo senso fa bene il Garante a ricordare che il silenzio da parte
del titolare sull’istanza ricevuta, può generare nell’interessato il diritto
a ricorrere all’Autorità Garante stessa o all’Autorità giudiziaria.
Insomma, la privacy evidentemente ha necessità di essere ancora "digerita"
nelle imprese, e nonostante i tentativi di semplificazione siamo ancora un
po’ lontani da una situazione pienamente in regola nelle nostre realtà,
quando invece con accorgimenti logistici e procedure interne semplificate
poste in essere da consulenti che tendono a snellire più che ad aggravare le
già pesanti procedure burocratiche, si potrebbe evitare di incorrere in
sanzioni amministrative o illeciti penali. Questa è la logica che Axential
privilegia nell’ approccio con aziende che non sono ancora in regola con la
“privacy”. |
|
