Guida pratica alla privacy per le imprese: torna tutto?

È stata pubblicata sul sito dell’Autorità Garante in materia di protezione dei dati personali, la Guida pratica contenente le misure di semplificazione per le piccole e medie imprese. In sostanza dall’Ufficio del Garante hanno riassunto quelli che sono gli aspetti più salienti della normativa in materia di privacy andando a specificare taluni punti inerenti gli adempimenti obbligatori ai sensi del decreto legislativo n. 196/2003

Anzitutto nella Guida il Garante precisa che la figura del responsabile è una figura facoltativa, non obbligatoria, alla quale il titolare può derogare poteri/doveri in materia di privacy. Unici requisiti di idoneità richiesti sono esperienza, capacità e ed affidabilità affinché sussista una effettiva garanzia del rispetto di quella che la normativa privacy. L’esigenza di questo chiarimento nasce probabilmente dalla non comprensione da parte delle imprese di quella che è la figura del responsabile: spesso viene designato senza che vi sia una presa di coscienza in merito agli obblighi corrispondenti, oppure non è raro che il titolare si faccia una auto-nomina a responsabile, aspetti entrambi ovviamente non corrispondenti allo spirito della normativa.

Altro contenuto importante affrontato nella Guida è quello relativo alle famigerate informative: l’informativa si ribadisce dover essere un documento estremamente chiaro, reso in modo sintetico e prima delle operazioni di trattamento. L’Autorità ci ricorda che nei rapporti clienti e fornitori non occorre rendere ad ogni contratto l’informativa, essendo necessaria solo all’atto di avvio del rapporto. Personalmente avrei sottolineato alcune modalità pratiche di rilascio dell’informativa: allegandole agli ordini in caso di rapporti con i Fornitori, o alle offerte in caso di potenziali Clienti. Difatti la maggior difficoltà per le imprese non è tanto la redazione della informativa, quanto le procedure di rilascio. Anche perché benché il Garante sottolinei la possibilità del rilascio di una informativa in forma sintetica, tralascia un aspetto fondamentale, cioè che comunque il legislatore sposta sul titolare l’onere di provare di aver adeguatamente informato l’interessato, ovvero il soggetto di cui si tratta i dati. Con la forma orale di rilascio, male si concilia il poter provare successivamente di aver adempiuto all’obbligo normativo. Ecco perché a mio parere l’informativa comunque converrebbe  sempre rilasciarla per iscritto: per e-mail, per fax, nei contratti, nel retro-fattura, purché si possa sempre documentare o provare attraverso il personale che ne gestisce la distribuzione nell’impresa.

Certo è che ancora una volta emerge chiaramente come non possa costituire informativa la classica dizione che si legge troppo spesso nei documenti di raccolta dati, ovvero “I Suoi dati saranno trattati nel rispetto della normativa vigente e secondo correttezza.” Questa frase  non è una informativa, non è per niente rilevante in materia di rilascio di informativa e qualora non sia accompagnata da quanto previsto dal legislatore a livello di informazioni, comporta certamente una punibilità per mancata o inidonea informativa (si può arrivare a 90.000 euro in caso di dati sensibili!!!!).

Un aspetto assai rilevante è quello poi relativo alla gestione dei consensi: stop nelle imprese a tutte queste informative che circolano in cerca di consenso!!! La nuova legge ormai in vigore dal primo gennaio 2004 prevede che in caso di accordi contrattuali tra le parti, obblighi di legge al rilascio dei dati e dati provenienti da registri pubblici, non sussista assolutamente l’obbligo di richiedere il consenso al trattamento. Pertanto l’informativa che ci arriva da cliente/fornitore richiedendo il consenso al trattamento non deve assolutamente essere restituita firmata: è solo tempo buttato!!!!

Una delle asserzioni contenute nella Guida del Garante è poi a mio parere, discutibile. In merito al documento programmatico di sicurezza da aggiornarsi annualmente al 31 marzo, l’Autorità parla di redazione obbligatoria in caso di trattamento di dati sensibili: in realtà il Codice privacy all’art. 34 dispone l’obbligo di tenuta di un aggiornato documento programmatico di sicurezza per i trattamenti effettuati con strumenti elettronici; non ha senso quindi restringere l’obbligo di tenuta del dps solo ai dati sensibili; semmai essendo che nell’Allegato B sono previste determinate misure per i dati sensibili, qualora questi sussistano si indicheranno gli ulteriori elementi previsti nell’Allegato B. A mio modo di vedere il testo di legge è chiaro, e comunque sarebbe illogico prevedere le misure di sicurezza obbligatorie per tutti i trattamenti ed il dps – che è nell’elenco delle misure di sicurezza – obbligatorio solo per i dati sensibili.

Ultimo aspetto saliente è quello relativo al riscontro a seguito di istanza dell’interessato: molti tralasciano l’obbligo di dare riscontro all’interessato entro 15 giorni decorrenti dalla ricezione dell’istanza. Ed in questo senso fa bene il Garante a ricordare che il silenzio da parte del titolare sull’istanza ricevuta, può generare nell’interessato il diritto a ricorrere all’Autorità Garante stessa o all’Autorità giudiziaria.

Insomma, la privacy evidentemente ha necessità di essere ancora “digerita” nelle imprese, spesso a seguito anche di favole metropolitane che vanno diffondendosi per creare panico e genere costi nell’impresa stessa, quando in realtà con accorgimenti logistici e procedure interne semplificate, si potrebbe evitare di incorrere in sanzioni amministrative o illeciti penali. Suggeriamo un ripassino per tutti!