Radicale esclusione del trattamento dei dati delle persone giuridiche dall’ambito di applicazione del Codice privacy?
Il Garante per la protezione dei dati personali, con il Provvedimento generale n.262/2012, pubblicato sulla Gazzetta Ufficiale n. 268 del 16 novembre 2012, è intervenuto al fine di chiarire quale sia la normativa applicabile al trattamento delle informazioni relative alle persone giuridiche in seguito alle modifiche introdotte dal decreto “Salva Italia”.
Com’è noto, infatti, il Decreto Legge 201/2011, convertito con Legge 214/2011, ha modificato la definizione di “dato personale” – adesso riconducibile a qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente – e quella di “interessato” – ora individuato nella sola persona fisica cui si riferiscono i dati personali – con conseguente esclusione della disciplina prevista dal codice privacy al trattamento dei dati delle persone giuridiche, enti e associazioni.
Tale esclusione però non può considerarsi radicale.
Infatti, come evidenziato dall’Autorità Garante nel provvedimento generale del 20 settembre 2012 e di recente pubblicazione, in base all’attuale sistema normativo, le disposizioni sui servizi di comunicazione elettronica contenute al capo I del titolo X del codice privacy devono ritenersi applicabili anche alle persone giuridiche, “in quanto rivolte a destinatari individuati non in funzione della loro qualifica soggettiva (se cioè persone fisiche ovvero giuridiche), bensì di una qualifica ulteriore che ne prescinde”, ossia quella di contraente.
Gli artt. 121 e ss. del D. lgs. 196/2003 infatti riguardano gli “utenti” e i “contraenti” e, mentre il concetto di “utente” è effettivamente limitato alle sole persone fisiche che utilizzano un servizio di comunicazione elettronica accessibile al pubblico, la definizione di “contraente” si riferisce non solo alla persona fisica, ma anche alla persona giuridica, all’ente o all’associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi o comunque destinatario di tali servizi tramite schede prepagate.
Così, concretamente, l’art. 130 del D. lgs. 196/2003, nel prescrivere al titolare del trattamento di acquisire il consenso dell’utente o contraente per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale attraverso l’uso di sistemi automatizzati di chiamata senza l’intervento di un operatore oppure tramite l’impiego di posta elettronica, fax, mms o sms, intende estendere la relativa tutela sia alla persona fisica che alla persona giuridica.
Ugualmente, la disciplina del Registro pubblico delle opposizioni, prevista per le telefonate commerciali con operatore e per l’invio di comunicazioni pubblicitarie cartacee, deve ritenersi applicabile rispetto alle numerazioni e ai dati presenti negli elenchi telefonici, indipendentemente dalla circostanza che siano dati riferibili a persone fisiche o giuridiche.
Il fatto di non considerare più le persone giuridiche quali “interessati” e tuttavia mantenere una loro tutela rispetto al settore delle comunicazioni elettroniche in qualità di “contraenti” comporta non poche difficoltà operative e talune disarmonie indotte dal mancato coordinamento tra le disposizioni preesistenti e le modifiche che si sono via via succedute.
Così, come rilevato dall’Autorità Garante, proprio con riguardo al telemarketing, le persone giuridiche – contraenti potrebbero rimanere prive di tutela nel caso in cui i dati utilizzati per tali finalità non venissero tratti dagli elenchi telefonici, ma da altre fonti, quali ad esempio, siti web, albi, atti o documenti pubblici.
Ciò in quanto – sostiene il Garante – “il trattamento dei dati che costituisce presupposto di quei contatti promozionali, se effettuato nei confronti di persone giuridiche, enti o associazioni, non risulta più soggetto agli obblighi di preventivo rilascio dell’informativa ed acquisizione del consenso”, mancando infatti “la possibilità di ricondurlo alla disciplina generale di cui agli artt. 23 e 24 del Codice, testualmente applicabili esclusivamente agli interessati (cioè, ora, alle persone fisiche)”.
Peraltro, fermi restando gli obblighi di informazione derivanti dal’art. 8 del D. lgs. 70/2003, espressamente richiamato al comma 1 dell’art. 130, la circostanza secondo cui l’art. 23 del codice privacy non sarebbe applicabile alle persone giuridiche, nemmeno analogicamente, renderebbe inoltre incerto un ulteriore aspetto – non espressamente indicato dal Garante, ma certamente di rilievo per i profili di cui si discute – ossia quali caratteristiche debba avere il consenso da acquisire dal contraente, ex art. 130 commi 1 e 2, per poter inviare a questi comunicazioni commerciali tramite posta elettronica, fax, sms o telefonate automatizzate.
Proseguendo nella disamina relativa alle problematiche ed alle difficoltà operative derivanti dal quadro normativo, allo stato vigente, in materia di privacy rispetto alle persone giuridiche, il Garante, nel provvedimento generale in esame, rileva inoltre ulteriori aspetti che occorre qui richiamare.
In particolare, l’Autorità evidenzia quanto appaia effettivamente singolare la scelta di tutelare, limitatamente al settore delle comunicazioni elettroniche, i contraenti – persone giuridiche e poi però negare loro la possibilità di rivolgersi al Garante tramite reclamo, segnalazione o ricorso, essendo tali strumenti riservati, ex art. 141 del codice privacy, ai soli soggetti “interessati”.
Ed ancora, interpretando letteralmente l’art. 15 del D. Lgs. 196/2003 sui danni cagionati per effetto del trattamento dei dati personali, sarebbe precluso il diritto di richiedere il risarcimento, ai sensi dell’art. 2050 del codice civile, alle persone giuridiche che ritenessero di aver subito un danno nel trattamento dei propri dati, non più qualificabili quali “personali”.
Dalla lettura ed esame del provvedimento generale di recente pubblicazione, può pertanto rilevarsi che l’Autorità Garante contribuisce a chiarire l’ambito di applicazione del codice e, specificamente, delle disposizioni relative al settore delle comunicazioni elettroniche, rispetto alle persone giuridiche, confermando però, allo stesso tempo, l’effettiva fondatezza delle difficoltà operative evidenziate e denunciate dai titolari dei trattamenti con varie segnalazioni e richieste di pareri rivolti allo stesso Garante per la protezione dei dati personali.
Non rimane pertanto che verificare quale sarà l’impostazione seguita dal Garante rispetto alle questioni oggetto di disamina nel provvedimento de quo ed attendere un eventuale intervento normativo che, come auspicato dall’Autorità Garante, possa meglio coordinare quegli aspetti rimasti effettivamente di non agevole lettura.