Privacy nelle Pmi, le regole del gioco

di Noemi Ricci

scritto il

Le organizzazioni, sia pubbliche sia private, devono fare i conti con le cautele e gli adempimenti previsti dalla normativa sulla privacy di carattere comunitario

Sono diverse le realtà imprenditoriali di piccole e medie dimensioni che hanno a che fare quotidianamente con il trattamento dei dati. Spesso si tratta di obblighi contrattuali, precontrattuali o di legge, oppure di questioni di ordine amministrativo e contabile come la gestione degli ordinativi, delle buste paga o della corrispondenza con clienti, dipendenti, fornitori o anche realtà esterne di supporto in caso di outsourcing. Tutto ciò rende sempre molto attuali, in ambito aziendale, tutte quelle tematiche legate alla privacy e ai vincoli normativi in merito di riservatezza dei dati a cui le Pmi sono chiamate ad adempiere, dovendosi districare tra gli obblighi di legge vigenti.

Sono molteplici, infatti, le cautele e gli adempimenti che vengono imposti dalla normativa sulla privacy di derivazione comunitaria, alle organizzazioni sia pubbliche che private che utilizzano quotidianamente sistemi informatizzati. Molto spesso però gli operatori non possiedono un’adeguata preparazione o non prestano la dovuta attenzione al Codice in materia di protezione dei dati personali, cadendo così in spiacevoli equivoci ed errori comuni. In rete esistono molte soluzioni che vengono incontro alle imprese sul tema. Citiamo, ad esempio, l’iniziativa del sito Web Privacy Policy che propone un nuovo servizio di consulenza gratuita riservato a professionisti ed aziende, comprese quelle di piccole e medie dimensioni, che desiderano o hanno la necessità di verificare la conformità dei propri siti Internet al Testo Unico per la Privacy (Tup).

Il checkup gratuito accerta la correttezza e la conformità del sito Internet del richiedente al decreto legislativo 196/03 che descrive le complesse normative relative alla Privacy così come previste dal Tup, quale ad esempio la richiesta del consenso per il trattamento dei dati e la corretta pubblicazione dell’informativa per la privacy, la quale comprende anche l’esplicita indicazione delle finalità e delle modalità con cui l’azienda tratterà i dati dell’utente. Infine, in caso di eventuali irregolarità riscontrate, è possibile richiedere a Web Privacy Policy (a pagamento) l’attivazione di un servizio di consulenza a supporto della messa a norma del sito con il Tup ed il rilascio del certificato di conformità garantita Wpp (gratuito per chi acquista il servizio di consulenza), da rendere visibile sul sito aziendale.

In supporto alle imprese di piccole e medie dimensioni è arrivato negli ultimi tempi anche un provvedimento generale dello stesso Garante della Privacy che ha reso più semplici le attività di gestione amministrativa e contabile per Pmi, liberi professionisti e artigiani. In seguito ad un’analisi approfondita della problematica per cui alcune modalità per adempiere agli obblighi di legge o derivanti da un contratto vengono percepite come troppo onerose in rapporto alle garanzie per gli interessati, l’Autorità ha intrapreso varie iniziative che già tempo fa avevano portato all’approvazione di un provvedimento di carattere generale sintetizzato in una “Guida pratica e misure di semplificazione per le piccole e medie imprese” (Provv. 24 maggio 2007, n. 21, in G.U. 21 giugno 2007, n. 142 e doc. web n. 1412271) completo di checklist con cui le imprese possono testare autonomamente il proprio livello di adeguamento al decreto legislativo 196/2003.

Sulla Gazzetta Ufficiale G.U. 01/07/2008, n. 152.e è stato, invece, pubblicato di recente il Provvedimento Garante per la protezione dei dati personali 19/06/2008, contenente le indicazioni del provvedimento che porterà allo snellimento dei moduli e dei documenti necessari in tutti quei casi in cui vengono in genere trattate delle informazioni che non hanno carattere sensibile o giudiziario. Il provvedimento si prefigge lo scopo di trovare soluzioni concrete per rendere più agevole l’ordinaria attività di gestione amministrativa e contabile in modo particolare delle piccole realtà, in relazione all’informativa e al consenso. Nello specifico, sono stati forniti i principi base per la redazione di un’informativa unica cumulativa per il trattamento dei dati personali sia per scopi amministrativi che contabili, che mette fine ai moduli lunghi e burocratici, basati su innumerevoli espressioni giuridiche poco comprensibili e prive di comunicatività che non rendono chiaro ai cittadini come verranno trattati i propri dati personali. A questo si aggiungono, inoltre, le inutili ripetizioni dell’informativa per ciascun contatto con gli interessati, spezzettando le informazioni fornite e rendendole ulteriormente complicate. Un modo più organico e possibilmente unitario per presentare le spiegazioni è sicuramente utile per agevolarne la comprensione.

In pratica, al posto di questi moduli, sarà possibile utilizzare un modello fornito dallo stesso Garante per redigere un’informativa sintetica, rimandando eventuali approfondimenti ad un testo più completo di riferimento reperibile anche con strumenti informatici e telematici ad esempio attraverso Internet, reti Intranet, bacheche, sportelli o simili. Viene così fornita un’unica informativa per il complesso dei trattamenti, anziché per singoli aspetti del rapporto con gli interessati. Il linguaggio dovrà essere semplice e i trattamenti ricostruiti in maniera organica, senza inutili frammentazioni o reiterazioni. Il Garante sollecita, inoltre, ad indicare all’interessato, anche oralmente, alcune prime notizie sintetiche che illustrino in maniera chiara ed immediata le principali caratteristiche del trattamento.

Per una prima informativa breve scritta viene indicata in linea di massima la seguente formulazione: «Utilizziamo – anche tramite collaboratori esterni – i dati che la riguardano esclusivamente per nostre finalità amministrative e contabili, anche quando li comunichiamo a terzi. Informazioni dettagliate, anche in ordine al suo diritto di accesso e agli altri suoi diritti, sono riportate su…». Anche l’informativa più articolata è opportuno che sia improntata alla correttezza, scritta con espressioni sintetiche, chiare e comprensibili, omettendo riferimenti puramente burocratici o circostanze ovvie. È possibile dunque non inserire gli elementi già noti all’interessato. Viene, infine, suggerito che anche l’informativa più ampia sia basata su uno schema tendenzialmente uniforme per il settore di attività del titolare del trattamento.

Quando, invece, il trattamento coinvolge informazioni inerenti ad un certo campo con caratteristiche specifiche, come può essere il caso di dati genetici, o prevede forme inusuali di utilizzazione di dati o può comportare rischi specifici per gli interessati, si rende necessaria un’informativa specifica o ad hoc. L’Autorità ha esortato le associazioni di categoria a realizzare esse stesse dei modelli di informative-tipo differenziandole in base alle diverse categorie di trattamento dei dati, creando quindi un’informativa snella, essenziale ed efficace in cui il consenso venga richiesto essenzialmente solo qualora si renda realmente necessario.

L’Autorità stessa, nel provvedimento, ha indicato quali siano i casi in cui le imprese sono esonerate dal richiedere il consenso per il trattamento dei dati:

  • quando i trattamenti sono svolti per adempiere ad obblighi contrattuali o normativi o per tutte le ordinarie finalità amministrative e contabili;
  • quando i dati provengono da pubblici registri e elenchi pubblici;
  • quando sono relativi allo svolgimento di attività economiche dell’interessato.

In aggiunta, il titolare del trattamento può utilizzare a fini pubblicitari o promozionali i recapiti di posta cartacea forniti dallo stesso interessato a cui il titolare abbia già venduto un prodotto o prestato un servizio analogo a quello oggetto della vendita. L’interessato deve però essere informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuita. L’Autorità definisce, inoltre, non necessaria la notificazione telematica al Garante, da parte dei titolari del trattamento, per perseguire finalità amministrative e contabili, eccezion fatta per gli eventuali casi eccezionali previsti per legge (art. 37). Il Garante si riserva, infine, di mettere presto a disposizione delle associazioni anche un kit completamente gratuito di istruzioni concrete e fac-simili per semplificare gli adempimenti. Questo intervento dell’Autorità si inserisce in un percorso di semplificazione degli adempimenti per alcune categorie, individuando soluzioni concrete per agevolare ulteriormente l’ordinaria attività di gestione amministrativa e contabile in ambito pubblico e privato, soprattutto in quei casi in cui non sono trattati dati sensibili o giudiziari, come ha sottolineato lo stesso Garante in una nota.