Nella newsletter n. 320 del 1 luglio 2008, l’Autorità Garante per la Privacy ha comunicato di aver pubblicato un provvedimento [1] contenente “Semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrative e contabili”. 

L’intento del Garante è quello di snellire l’eccessiva burocrazia che fino ad oggi ha caratterizzato gli adempimenti imposti dal d.lgs. n. 196/03, soprattutto per le piccole e medie imprese, i liberi professionisti e gli artigiani che non praticano il trattamento di dati sensibili e/o giudiziari. Nel contempo, però, si cerca di non trascurare la posizione del singolo, che mette a disposizione dei suddetti Titolari i propri dati. 

Non è la prima volta che l’Autorità interviene in tal senso. Già nel maggio 2007 intervenne con un precedente provvedimento intitolato “Guida pratica e misure di semplificazione per le piccole e medie imprese”[2].
Il primo aspetto, oggetto delle attenzioni dell’Autorità, ha riguardato l’informativa: la comunicazione, prevista all’art. 13 del Codice, diretta ad informare, anche oralmente, l’interessato sul trattamento che riceveranno i propri dati. In pratica, osserva l’Autorità, si assiste, per buona parte dei casi, alla redazione di informative fornite per iscritto ed inserite in moduli “lunghi e burocratici, privi di comunicatività e basati sull’eccessivo uso di espressioni prettamente giuridiche, inidonee a far comprendere le caratteristiche principali del trattamento”.
A ciò si aggiunga, l’altissimo numero di realtà imprenditoriali di piccole e medie dimensioni, le quali trattano dati “esclusivamente per finalità di ordine amministrativo e contabile”, come ad esempio la gestione degli ordini e della corrispondenza (in entrata ed in uscita), nonché l’organizzazione delle buste paga o altri adempimenti simili. Tutto ciò avviene in completa assenza di trattamento dei dati aventi carattere sensibile o giudiziario. 

Al fine di agevolare al massimo l’auspicata semplificazione, l’Autorità ha suggerito la redazione di un’informativa breve (secondo lo schema riprodotto nel medesimo provvedimento) che rinvia a un testo più articolato disponibile, per esempio, sul sito Internet del titolare oppure affisso in bacheca. 
Nel medesimo senso, l’Autorità ha invitato le associazioni di categoria a predisporre schemi di informativa per determinati settori o categorie di trattamenti. 

In secondo luogo, il Provvedimento tratta del consenso, previsto all’art. 23 del Codice, chiarendo quali siano le ipotesi nelle quali esso non debba essere richiesto, e precisamente quando:
“a) il trattamento dei dati in ambito privato è svolto per adempiere a obblighi contrattuali o normativi o, comunque, per ordinarie finalità amministrative e contabili;
b) i dati trattati provengono da pubblici registri ed elenchi pubblici conoscibili da chiunque o sono relativi allo svolgimento di attività economiche dell'interessato”. 

Un aspetto di notevole interesse per i rapporti commerciali è ulteriormente precisato a proposito dell’utilizzo dei dati già forniti dal cliente, in occasione di precedenti acquisti, e della loro utilizzazione, da parte del titolare, per l’invio di “ulteriore suo materiale pubblicitario o promuovere una sua vendita diretta o per compiere sue ricerche di mercato o di comunicazione commerciale”. Ebbene, sul punto è precisamente disposta, per il titolare del trattamento che abbia già venduto un prodotto o prestato un servizio a un interessato, la possibilità di “utilizzare senza il consenso i recapiti (oltre che di posta elettronica come già previsto per legge) di posta cartacea forniti dall’interessato, ai fini dell’invio diretto di proprio materiale pubblicitario o di propria vendita diretta o per il compimento di proprie ricerche di mercato o di comunicazione commerciale.” 
Il tutto deve avvenire nel rispetto di precisi limiti, indicati nel medesimo provvedimento, a tutela dell’interessato; egli, infatti, dovrà essere preventivamente avvertito di un tale uso dei propri dati e potrà, in ogni momento, opporsi a che ciò avvenga. 

L’intervento in commento si chiude con una segnalazione rivolta alle competenti autorità di Governo sull’opportunità di apportare una modifica al d.lgs. n. 196/03 “con riferimento alla disciplina delle misure minime di sicurezza e al documento programmatico”. Si tratta, nello specifico, di un’integrazione all’art. 33 del Codice, del seguente tenore:
“All’articolo 33 del decreto legislativo 30 giugno 2003 n. 196, dopo il comma 1, è aggiunto il seguente: <1-bis. Il Garante può individuare con proprio provvedimento modalità semplificate in ordine all'adozione delle misure minime di cui al comma 1, con riferimento ai trattamenti effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani>”.




[1] Provvedimento del 19 giugno 2008, in G.U. n. 152 del 1 luglio 2008
[2] Provvedimento del 24 maggio 2007, in G.U. n. 142 del 21 giugno 2007.