PRIVACY: COME FARE PER NON COMPLICARSI LA VITA

un esame della guida per le piccole e medie imprese del Garante per la privacy

- di Katia Natella - Axential
Aggiornato al 27.02.2008

Il Garante della privacy ha riassunto quelli che sono gli aspetti più salienti della normativa in materia di privacy in una guida ai fini di una semplificazione delle procedure per le piccole e medie aziende.

Analizziamo insieme i punti trattati:

  • Un contenuto importante affrontato nella Guida è quello relativo alle famigerate informative: l’informativa si ribadisce dover essere un documento estremamente chiaro, reso in modo sintetico e prima delle operazioni di trattamento.
    Nel rapporto con fornitori, clienti, dipendenti e collaboratori non è necessario ripeterla in occasione di ogni contatto: è sufficiente fornirla con una formula generale una tantum, all’’inizio delle operazioni di trattamento (che potranno anche protrarsi nel tempo).
    Poiché la maggior difficoltà per le imprese non è tanto la redazione della informativa, quanto le procedure di rilascio, il Garante, a tal proprosito, sottolinea, che è possibile fornire l’’informativa anche oralmente, in modo sintetico e colloquiale, o utilizzando uno spazio all’’interno dell’’ordinario materiale cartaceo e della corrispondenza. Quest’ultima cosa sembra sicuramente più interessante della prima, visto che il legislatore sposta sul titolare l’onere di provare di aver adeguatamente informato l’interessato, ovvero il soggetto di cui si trattano i dati. La forma orale di rilascio male si concilia il poter provare successivamente di aver adempiuto all’obbligo normativo. Ecco perché, come più volte consigliato ai clienti che si sono affidati ad Axential per la gestione dell’adeguamento alla privacy, l’informativa comunque converrebbe sempre rilasciarla per iscritto: per e-mail, per fax, nei contratti, nel retro-fattura, purché si possa sempre documentare o provare attraverso il personale che ne gestisce la distribuzione nell’impresa.
    Certo è che ancora una volta emerge chiaramente come non possa costituire informativa la classica dizione che si legge troppo spesso nei documenti di raccolta dati, ovvero "I Suoi dati saranno trattati nel rispetto della normativa vigente e secondo correttezza." Questa frase non è una informativa, non è per niente rilevante in materia di rilascio di informativa e qualora non sia accompagnata da quanto previsto dal legislatore a livello di informazioni, comporta certamente una punibilità per mancata o inidonea informativa (si può arrivare a 90.000 euro in caso di dati sensibili!!!!).
  • Un altro aspetto affrontato è quello poi relativo alla gestione dei consensi: stop nelle imprese a tutte queste informative che circolano in cerca di consenso!!! La nuova legge ormai in vigore dal primo gennaio 2004 prevede che in caso di accordi contrattuali tra le parti, obblighi di legge al rilascio dei dati e dati provenienti da registri pubblici, non sussista assolutamente l’obbligo di richiedere il consenso al trattamento. Pertanto l’informativa che ci arriva da cliente/fornitore richiedendo il consenso al trattamento non deve assolutamente essere restituita firmata: è solo tempo buttato!!!!
    A meno che, e mi riferisco ai dati provenienti da pubblici registri, non iniziamo un trattamento commerciale, ossia telefonate per proporre prodotti o servizi, invio di comunicazioni commerciali a mezzo e-mail, etc, in tali casi il consenso è necessario.
  • Un ulteriore aspetto affrontato nella guida, ma che solitamente si tralascia nelle aziende è l’adempimento relativo alla Notifica. Esso consiste in una dichiarazione con la quale il titolare del trattamento, prima di iniziarlo, rende nota al Garante (che la inserisce nel registro pubblico dei trattamenti consultabile da chiunque sul sito web dell’’Autorità) l’’esistenza di un’’attività di raccolta e di utilizzazione dei dati personali.
    Sembra quasi che non ci tocca perché non rientriamo nei casi enunciati dall’art. 37 del decreto, ma non è sempre così. L’art. 37, comma d, contempla: “dati trattati con l’’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’’interessato, o ad analizzare abitudini o scelte di consumo (c.d. profilazione), ovvero a monitorare l’’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti”, ciò non è lontano dal dire CRM, ossia la logica che si sta diffondendo sia nelle piccole e sia nelle grandi aziende, di mettere il cliente al centro e conoscerlo sempre meglio per operare su di lui azioni continue e più capillari da un punto di vista commerciale. Pertanto guardiamo bene ai trattamenti che svolgiamo e valutiamo la possibilità di notificare per dormire sonni tranquilli!
  • Viene affrontata anche la questione del trasferimento di dati personali in paesi terzi. In un mercato internazionalizzato mi sembra doveroso porre l’attenzione anche su questo aspetto. Visitando un po’ di aziende, lo riscontro frequentemente. Anche in questo caso ci sono delle regole da rispettare. Nello svolgimento dell’’attività di impresa può risultare necessario trasferire dati personali fuori dell’’Unione europea (ad esempio relativi alla clientela o ai dipendenti). In tal caso la comunicazione dei dati personali e non verso Paesi fuori dall’Unione Europea va disciplinata con la richiesta del consenso all’interessato. Pertanto, se la nostra azienda lavora con l’estero, non c’è cosa più semplice che rendere palese questo trattamento richiedendo il consenso per la comunicazione dei dati verso taluni Paesi.
  • Ultimo aspetto saliente è quello relativo al riscontro a seguito di istanza dell’interessato: molti tralasciano l’obbligo di dare riscontro all’interessato entro 15 giorni decorrenti dalla ricezione dell’istanza. Ed in questo senso fa bene il Garante a ricordare che il silenzio da parte del titolare sull’istanza ricevuta, può generare nell’interessato il diritto a ricorrere all’Autorità Garante stessa o all’Autorità giudiziaria.
  • Insomma, la privacy evidentemente ha necessità di essere ancora "digerita" nelle imprese, e nonostante i tentativi di semplificazione siamo ancora un po’ lontani da una situazione pienamente in regola nelle nostre realtà, quando invece con accorgimenti logistici e procedure interne semplificate poste in essere da consulenti che tendono a snellire più che ad aggravare le già pesanti procedure burocratiche, si potrebbe evitare di incorrere in sanzioni amministrative o illeciti penali. Questa è la logica che Axential privilegia nell’ approccio con aziende che non sono ancora in regola con la “privacy”.

 
Gli altri approfondimenti sull’argomento:
I nostri ebook


EconomiAziendale.net

LezioniDiMatematica.net

DirittoEconomia.net

StoriaFacile.net

SchedeDiGeografia.net

LeMieScienze.net