La privacy e le piccole medie imprese: linee guida del Garante

La guida costituisce uno strumento utile per osservare gli adempimenti derivanti dalla normativa vigente, cui gli imprenditori devono far fronte quotidianamente, fornendo indicazioni sintetiche e soluzioni semplificate per un corretto trattamento dei dati personali.

La guida, che potrà subire aggiornamenti nel tempo, è integrata da una check list.

Di seguito ne illustriamo i passi principali, indicando anche gli articoli del Decreto legislativo n. 196/2003 cui fare riferimento.

I soggetti che effettuano il trattamento

Il titolare del trattamento è il soggetto (persona fisica o giuridica) che decide in maniera autonoma le modalità e le finalità del trattamento, compreso il profilo sulla sicurezza (Art. 28).

Il titolare può designare uno o più responsabili del trattamento tramite atto scritto ed è tenuto a vigilare sulla puntuale osservanza delle istruzioni impartite agli stessi (Art. 29).

Il titolare del trattamento è inoltre tenuto a designare gli “incaricati del trattamento”.

Tali soggetti (solo persone fisiche) effettuano materialmente le operazioni di trattamento dei dati personali e operano sotto la diretta autorità del titolare/responsabile attenendosi a istruzioni scritte (Art. 30).

Notifica del trattamento

La notifica del trattamento, cioè la dichiarazione con la quale il titolare del trattamento prima di iniziarlo rende nota al Garante la raccolta e l’utilizzazione dei dati personali utilizzando l’interfaccia disponibile sul sito web dell’Autorità e seguendo le istruzioni ivi indicate (Art. 38), non va, di norma, effettuata per i trattamenti ordinari svolti nelle piccole realtà produttive.

La notifica, infatti, deve essere effettuata in ipotesi particolari (Art. 37).

Con riguardo all’attività d’impresa i trattamenti soggetti a notifica sono quelli relativi a:

·   dati registrati in apposite banche dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti;

·   dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;

·   dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;

·   dati sensibili registrati in banche dati ai fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie.

Occorre fare una nuova notifica solo in caso di cessazione del trattamento o di mutamento di alcuni elementi dell’originaria notificazione.

L’informativa

In caso di dati raccolti presso l’interessato o presso terzi, l’informativa deve essere resa, prima dell’inizio del trattamento, con chiarezza, anche oralmente e in modo sintetico e colloquiale (Art. 13, commi 12 e 13) e deve contenere i seguenti elementi:

·   finalità e modalità del trattamento;

·   natura obbligatoria o facoltativa del conferimento dei dati e conseguenze di un eventuale rifiuto di rispondere;

·   soggetti o categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza;

·   diritti riconosciuti all’interessato dall’articolo 7 del Codice della privacy;

·   estremi identificativi del titolare e, se designato, del responsabile del trattamento.

Se l’interessato è già a conoscenza di alcuni di questi dati non è necessario indicarli nuovamente.In relazione ai dati raccolti presso terzi l’informativa può essere omessa se i dati sono trattati:

·   in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;

·   ai fini dello svolgimento delle investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria.

E’ prevista anche la possibilità di esonero totale o parziale dall’obbligo di rendere l’informativa nei casi in cui renderla, a giudizio del Garante, risulti impossibile o manifestamente sproporzionato rispetto al diritto fatto valere.

Il consenso dell’interessato

E’ necessario distinguere il trattamento dei dati personali non sensibili dal trattamento dei dati sensibili. Nel primo caso non è necessario il consenso nelle seguenti ipotesi (Art. 27):

·   il trattamento viene posto in essere per dare esecuzione ad un obbligo legale (Art. 24, comma 1, lettera a);

·   i dati vengono trattati nell’esecuzione di un contratto o in fase pre-contrattuale (Art. 24, comma 1, lettera b);

·   i dati provengono da registri ed elenchi pubblici (Art. 24, comma 1, lettera c);

·   i dati sono relativi allo svolgimento di attività economiche da parte dell’interessato (Art. 24, comma 1, lettera d).

Nel secondo caso è necessario il consenso scritto, oltre all’autorizzazione del Garante.

Il Garante ha rilasciato sette autorizzazioni generali che comprendono tutti i comportamenti abitualmente effettuati nell’ordinaria attività d’impresa per i quali non è necessaria alcuna richiesta al Garante, salvo che per casi del tutto eccezionali.

Non è richiesto il consenso dell’interessato se:

·   il trattamento è necessario per svolgere le investigazioni difensive o per far valere o difendere in sede giudiziaria un diritto (Art. 26, comma 4, lettera c);

·   il trattamento è necessario per adempiere a specifici obblighi o compiti previsti dalla legge o da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro (Art. 26, comma 4, lettera d).

La sicurezza dei sistemi

Il Codice pone l’obbligo generale di adottare idonee misure di sicurezza, anche attraverso la nomina di un responsabile (Art. 29, comma 2, e art. 31).

Nei casi di trattamento di dati sensibili e giudiziari attraverso sistemi informatici, va redatto entro il 31 marzo di ciascun anno il documento programmatico della sicurezza.

Tale documento va conservato dal titolare presso la propria struttura per essere esibito in occasioni di accertamenti ispettivi (Art. 34, comma 1, lettera g e regola 19 dell’allegato B del Codice).

Il trasferimento di dati personali in Paesi terzi fuori dall’Unione europea

Il trasferimento dei dati fuori dall’Unione europea è consentito nelle seguenti ipotesi:

·   l’interessato ha manifestato il proprio consenso espresso e, se si tratta di dati sensibili, in forma scritta;

·   il trasferimento è necessario per eseguire obblighi derivanti da un contratto del quale è parte l’interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato, ovvero per la conclusione o per l’esecuzione di un contratto stipulato a favore dell’interessato;

·   il trasferimento è necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge o con regolamento;

·   il trasferimento è necessario ai fini dello svolgimento delle investigazioni difensive, o, comunque, per far valere o difendere un diritto in sede giudiziaria;

·   il trattamento concerne dati riguardanti persone giuridiche, enti o associazioni.

Il trasferimento è consentito anche quando è autorizzato dal Garante in presenza di adeguate garanzie per i diritti dell’interessato (Art. 25, paragrafo 6 e art. 26, paragrafo 4, Direttiva 95/46/CE).

I doveri del titolare del trattamento in caso di esercizio dei diritti degli interessati ai sensi dell’articolo 7 del Codice

Il titolare/responsabile del trattamento, quando l’interessato esercita il proprio diritto d’accesso ai dati, deve fornire riscontro entro quindici giorni dal ricevimento dell’istanza (Art. 146).

Nei casi di omesso o incompleto riscontro i predetti diritti possono essere fatti valere dinanzi all’autorità giudiziaria o con ricorso al Garante (Art. 145).