Page 32

NUMERO 183 - MAGGIO / GIUGNO 2008

IL COMMERCIALISTA VENETO

effettua la profilazione dei consumatori);

fornire a questi ultimi una informativa con

linguaggio semplice, senza frammentarla o

reinviarla inutilmente, presentando una ricostru-

zione organica e comprensibile dei trattamenti

effettuati;

indicare le informazioni essenziali in un

quadro adeguato di lealtà e correttezza;

offrire una prima informativa breve, anche

oralmente, in cui andrebbero indicate sinteticamen-

te alcune prime notizie e chiarendo subito le princi-

pali caratteristiche del trattamento. Tale informativa

breve, quando è scritta, suggerisce il Garante, po-

trebbe avere la seguente formulazione:

I SUOI DATI PERSONALI

Utilizziamo - anche tramite collaboratori ester-

ni- i dati che la riguardano esclusivamente per

nostre finalità amministrative e contabili, anche

quando li comunichiamo a terzi. Informazioni

dettagliate, anche in ordine al suo diritto di ac-

cesso e agli altri suoi diritti, sono riportate su...;

utilizzare, per l'invio della informativa

scritta, gli spazi utili nel materiale cartaceo e nella

corrispondenza che si impiegano già, ordinaria-

mente, per finalità amministrative e contabili;

rimandare a un testo di informativa più

articolato, consultabile agevolmente senza oneri

per gli interessati, (in particolare, cita il Garante,

utilizzando "reti Intranet o siti Internet, affissio-

ni in bacheche o locali, avvisi e cartelli agli

sportelli per la clientela, messaggi preregistrati

disponibili digitando un numero telefonico gra-

tuito"). Le notizie da indicare per legge (art. 13,

comma 1) devono essere aggiornate, specifican-

do la data dell'ultimo aggiornamento.

Per agevolare l'utilizzo di tale informativa sempli-

ficata, il Garante ha invitato le associazioni di

categoria a predisporre informative-tipo per de-

terminati settori o categorie di trattamento, riser-

vandosi di porre a disposizione gratuita (chie-

dendo anche la collaborazione delle camere di

commercio), un kit contenente concrete istruzio-

ni e fac-simile per semplificare tutti gli

adempimenti in materia.

Il consenso

Il Garante, con riferimento al consenso (art. 23

ha inteso prescrivere a tutti i titolari del tratta-

mento alcune misure affinché non venga richie-

sto nei vari casi in cui esso risulti superfluo. Ciò,

in particolare, quando:

a) il trattamento dei dati in ambito privato è svol-

to per adempiere a obblighi contrattuali o

normativi o, comunque, per ordinarie finalità am-

ministrative e contabili;

b) i dati trattati provengono da pubblici registri

ed elenchi pubblici conoscibili da chiunque o

sono relativi allo svolgimento di attività econo-

miche dell'interessato.

Il Garante ha finalmente chiarito che il titolare del

trattamento, che abbia già venduto un prodotto

o prestato un servizio a un interessato, potrà uti-

lizzare i recapiti (oltre che di posta elettronica,

come già previsto per legge: art. 130, comma 4

)

di posta cartacea forniti dall'interessato medesi-

mo, "per inviare ulteriore suo materiale pub-

blicitario o promuovere una sua vendita diret-

ta o per compiere sue ricerche di mercato o di

comunicazione commerciale" senza richiedere

un ulteriore consenso.

Naturalmente dovranno essere rispettate le ga-

ranzie previste per le attività di profilazione degli

interessati e bisognerà che:

a) l'attività promozionale riguardi beni e servizi

del medesimo titolare e analoghi a quelli oggetto

della vendita;

b) l'interessato sia informato della possibilità di

opporsi in ogni momento al trattamento, in ma-

niera agevole e gratuitamente e di ottenere un

immediato riscontro che confermi l'interruzione

di tale trattamento (art. 7, comma 4

);

c) l'interessato medesimo, così adeguatamente

informato già prima dell'instaurazione del rap-

porto, non si opponga a tale uso, inizialmente o

in occasione di successive comunicazioni.

Gli incaricati

Sono state semplificate anche le procedure per la

designazione degli incaricati del trattamento dei

dati personali (art. 30

) è sufficiente un solo atto

laddove la nomina riguardi una pluralità di sog-

getti, evitando singoli atti circostanziati relativi

distintamente a ciascun incaricato.

Infatti si può procedere come segue:

* si definiscono le classi omogenee di incarico e

i relativi profili di autorizzazione (ad esempio, una

classe omogenea sarà costituita da coloro che

sono autorizzati ad accedere ai dati, di natura co-

mune e sensibile, relativi al personale impiegato)

* successivamente, si domiciliano tutti gli incari-

cati, ciascuno nella classe omogenea di apparte-

nenza (per cui, ad esempio, nella classe omoge-

nea sopra individuata confluiranno gli impiegati

dell'ufficio personale). Qualsiasi variazione (tra-

sferimento, licenziamento, assunzione, materni-

tà, ecc.) deve essere tempestivamente annotata

e notificata.

b) "Disposizioni urgenti per lo sviluppo econo-

mico, la semplificazione, la competitività, la

stabilizzazione della finanza pubblica e la

perequazione Tributaria"

L'articolo 29 del D.L. 25 giugno 2008, n. 112 pub-

blicato in G.U. 25 giugno 2008, n. 147 - S.O. n. 152,

aveva previsto inizialmente l'inserimento nell'art.

34 del D.Lgs. 30 giugno 2003, n. 196 (c.d. Legge

sulla Privacy), del seguente comma:

"1 bis. Per i soggetti che trattano soltanto dati

personali non sensibili e l'unico dato sensibile

è costituito dallo stato di salute o malattia dei

propri dipendenti senza indicazione della rela-

tiva diagnosi, l'obbligo di cui alla lettera g)

del comma 1 e di cui al punto 19 dell'Allegato

B è sostituito dall'autocertificazione, resa dal

titolare del trattamento ai sensi dell'articolo

47 del decreto del Presidente della Repubblica

28 dicembre 2000, n. 445, di trattare soltanto

dati personali non sensibili, che l'unico dato

sensibile è costituito dallo stato di salute o

malattia dei propri dipendenti senza indicazio-

ne della relativa diagnosi, e che il trattamento

di tale ultimo dato è stato eseguito in osservan-

za delle misure di sicurezza richieste dal pre-

sente codice nonché dall'Allegato B)."

In altre parole, il legislatore aveva introdotto

l'esonero dalla redazione del Documento

Programmatico sulla Sicurezza per i soggetti che

trattano unicamente dati sensibili derivanti dallo

stato di salute dei dipendenti, dimenticandosi

(visto che l'obbligo della redazione del D.P.S.

scatta in caso di trattamento di dati sensibili con

strumenti elettronici) di richiamare anche i dati

relativi alle iscrizioni ad associazioni sindacali.

Di conseguenza, aziende con dipendenti iscritti

ad un sindacato dei lavoratori, nel momento stes-

so che avessero trattato con strumenti elettroni-

ci i dati relativi alle trattenute sindacali, avrebbe-

ro dovuto continuare a preparare il D.P.S. al 31

marzo di ogni anno.

Fortunatamente, in sede di conversione, è stata

aggiunta la frase "ovvero dall'adesione ad or-

ganizzazioni sindacali o a carattere sindaca-

le", per cui ora tutte le piccole e medie aziende

possono, nella maggior parte dei casi, ritenersi

esonerate dalla redazione del D.P.S..

Il D.L. in questione prevede anche, nel comma

successivo, che, con separato provvedimento,

verranno introdotte modalità semplificate di re-

dazione del Documento Programmatico sulla Si-

curezza. Non ci sono informazioni sui contenuti

di tali semplificazioni: speriamo che la normativa

sulla protezione dei dati personali si trasformi

finalmente da un pesante adempimento burocra-

tico ad un utile strumento di gestione dei dati.

Art. 23. Consenso

1. Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato.

2. Il consenso può riguardare l'intero trattamento ovvero una o più operazioni dello stesso.

3. Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto,

e se sono state rese all'interessato le informazioni di cui all'articolo 13.

4. Il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili.

Fatto salvo quanto previsto nel comma 1, se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite

dall'interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell'interessato, sempre che si tratti di servizi analoghi a quelli

oggetto della vendita e l'interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L'interessato, al momento della

raccolta e in occasione dell'invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al

trattamento, in maniera agevole e gratuitamente.

Art. 7. Diritto di accesso ai dati personali ed altri diritti

1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in

forma intelligibile.

2. L'interessato ha diritto di ottenere l'indicazione: a) dell'origine dei dati personali; b) delle finalità e modalità del trattamento; c) della logica applicata in caso di

trattamento effettuato con l'ausilio di strumenti elettronici; d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi

dell'articolo 5, comma 2; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di

rappresentante designato nel territorio dello Stato, di responsabili o incaricati.

3. L'interessato ha diritto di ottenere: a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati; b) la cancellazione, la trasformazione

in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati

raccolti o successivamente trattati; c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto,

di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente

sproporzionato rispetto al diritto tutelato.

4. L'interessato ha diritto di opporsi, in tutto o in parte: a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della

raccolta; b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di

comunicazione commerciale.

Art. 30. Incaricati del trattamento

1. Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni

impartite.

2. La designazione è effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona

fisica ad una unità per la quale è individuato, per iscritto, l'ambito del trattamento consentito agli addetti all'unità medesima.

Semplificazioni in materia di privacy

SEGUE DA PAGINA 19