Disegno di legge semplificazioni: esclusione della privacy in caso di trattamento di dati personali di chi agisce nell’esercizio di attività di impresa

Ancora semplificazioni all’orizzonte in materia di privacy.
Stavolta però la strada intrapresa non è quella del decreto legge, come previsto in un primo momento, bensì quella di un disegno di legge da sottoporre all’ordinario iter parlamentare.
Lo scorso 16 ottobre, il Governo ha, infatti, approvato il Disegno di Legge Semplificazioni, contenente “nuove disposizioni di semplificazione amministrativa a favore dei cittadini e delle imprese” in alcune materie, tra cui proprio la privacy.
Più precisamente, il riferimento è all’art. 17 del citato Ddl, rubricato “semplificazioni in materia di privacy”, attraverso il quale si introdurrebbe all’art. 5 del Decreto Legislativo 196/2003 un ulteriore comma (3-bis),  con l’intento di escludere l’applicazione del codice privacy in caso di “trattamento dei dati personali di chi agisce nell’esercizio dell’attività di impresa, anche individuale”, fatte salve le sole disposizioni di cui alla Parte II, Titolo X del codice.
Al fine di comprendere le ragioni di un tale intervento e l’impatto che deriverebbe dalla sua approvazione occorre considerare la precedente modifica apportata al codice privacy con il decreto legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214, con cui si è limitato il concetto di “dato personale” ai soli dati riferiti alle persone fisiche, escludendo pertanto dal novero dei soggetti “interessati” le persone giuridiche.
Ciò, concretamente, determina una esclusione degli adempimenti in materia di privacy per il trattamento delle informazioni non più configurabili quali dati personali in quanto riferite, appunto, a persone giuridiche, con la sola eccezione dell’eventuale trattamento di detti dati per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, finalità per cui l’art. 130 del codice richiede il consenso dell’ “utente” o “contraente”, così riferendosi non solo alla persona fisica, ma anche alla persona giuridica.
Tali considerazioni appaiono necessarie, in quanto la modifica normativa del concetto di interessato, apportata dal citato Decreto legge 201 – in linea sia con le Direttive europee 95/46/CE e 2002/58/CE, sia con lo schema di Regolamento del Parlamento Europeo e del Consiglio del 25 gennaio 2012 – esclude dalla categoria dei soggetti interessati le persone giuridiche, mantenendo però di fatto l’obbligo di ottemperare agli adempimenti in materia di privacy in caso di trattamento di dati di soggetti che non siano dotati di personalità giuridica (così anche liberi professionisti, ditte individuali e imprese non gestite in forma societaria).
Con l’eventuale introduzione del comma 3-bis all’art. 5 del D. lgs. 196/2003, invece, si escluderebbe l’applicazione del codice al trattamento dei dati di chi agisce nell’esercizio dell’attività di impresa, anche individuale, con ciò riferendosi, quindi, ad ogni soggetto, anche persona fisica, che eserciti professionalmente un’attività economica organizzata al fine della produzione o dello scambio di beni o servizi (cfr. art. 2082 cod. civ.).
Si rileva però, che l’eventuale introduzione della suddetta disposizione consentirebbe di estendere al concetto più ampio di impresa, anche esercitata in forma individuale (cioè da persona fisica), l’esclusione del campo di applicazione già prevista per le informazioni relative alle persone giuridiche, ma non eliminerebbe l’applicabilità della normativa in materia di privacy per i dati trattati nello svolgimento di attività di impresa.
Il punto merita certamente attenzione per evitare di interpretare in modo erroneo il testo del disegno di legge in esame.
Un imprenditore, nello svolgimento della propria attività, tratta dati riferiti a più categorie di soggetti: clienti e fornitori, effettivi e potenziali, dipendenti, richiedenti impiego …
In base alla vigente normativa in materia di privacy, qualora i soggetti cui i dati si riferiscono  (ad esempio i clienti e i fornitori) siano persone giuridiche, il Titolare del trattamento non sarà tenuto ad ottemperare agli obblighi previsti dal codice privacy, fatto salvo il trattamento per le finalità di cui all’art. 7 comma 4 lett. b). Ugualmente – ove il disegno di legge venisse approvato – nell’ipotesi in cui tali soggetti agissero nell’esercizio dell’attività di impresa, anche individuale.
Rispetto però ai dati riferiti a persone fisiche che non agissero nell’esercizio di attività economica (ad esempio richiedenti impiego o utenti), il Titolare,  a prescindere dalla circostanza che tratti detti dati nello svolgimento della propria attività di impresa, dovrà continuare ad osservare le disposizioni del D.Lgs. 196/2003.
Diversamente nel caso in cui nel disegno di legge si fosse riportato il testo presente nella bozza di decreto legge semplificazioni bis, poi stralciata in favore del ddl de quo, ove si escludeva appunto l’applicazione del codice per il trattamento dei dati personali “riguardanti” l’attività delle imprese commerciali o agricole, esercitate anche in forma individuale.
Sebbene la portata dell’art. 17 del disegno di legge oggetto di iter parlamentare sia evidentemente ben più limitata rispetto a quanto indicato nella bozza del suddetto decreto, il Garante per la Protezione dei dati personali è comunque intervenuto, con un comunicato stampa del 16 ottobre, manifestando forti preoccupazioni in ordine al testo del Ddl semplificazioni approvato in pari dal Governo nella parte relativa alle norme sulla privacy.
Ciò in quanto – a dire del Garante – escludere dall’applicazione del D.Lgs. 196/2003 il trattamento dei dati di coloro che agiscono nell’esercizio dell’attività imprenditoriale, anche individuale, anziché semplificare la vita degli imprenditori li priverebbe in quanto persone fisiche, di ogni garanzia rispetto al trattamento dei loro dati e si porrebbe in contrasto con la Direttiva Europea.
Il riferimento è verosimilmente allo schema di Regolamento europeo, che tutela i dati relativi alle sole persone fisiche ed esclude espressamente dalla protezione derivante dal provvedimento le persone dotate di personalità giuridica, senza però far, a tal riguardo, alcun riferimento all’impresa.
Pur apprezzando il tentativo del Governo di proseguire nella via della semplificazione, non resta quindi che attendere l’esito dell’iter parlamentare cui il disegno di legge è sottoposto e verificare se il testo verrà modificato, come espressamente auspicato dall’Autorità Garante.
In ogni caso, appare evidente la necessità di un riordino complessivo della materia e si attende in tal senso l’approvazione, ormai prossima, dello schema di Regolamento europeo.