Garante Privacy: imprese ancora tutelate dal telemarketing

Le persone giuridiche, gli enti e le associazioni continueranno ad essere tutelati dal telemarketing.

  • Non potranno quindi essere contattati se iscritti nel Registro delle opposizioni
  • Non potranno ricevere, senza consenso, telefonate, fax, sms da sistemi automatizzati.

Lo precisa il Garante privacy in un provvedimento generale con il quale intende fornire indicazioni sulla normativa applicabile al trattamento dei dati relativi a imprese e soggetti privati alla luce delle semplificazioni introdotte dalla legge di conversione del decreto “Salva Italia”. 

Il provvedimento (in corso di pubblicazione nella G.U.) tiene conto, tra l’altro, delle numerose segnalazioni e richieste di pareri pervenuti all’Autorità, in cui si sollecitano chiarimenti, anche interpretativi, a fronte delle difficoltà operative riscontrate nel testo emendato.

Le persone giuridiche – afferma l’Autorità –  non sono state radicalmente escluse dall’ambito di applicazione della normativa sulla privacy  poiché rientrano ancora nel quadro di adempimenti e tutele contenuti nella parte speciale del Codice, relativa alle “Comunicazioni elettroniche”.

I Contraenti – Persone giuridiche

La quasi totalità delle disposizioni richiamate nella parte speciale del Codice relativa alle “Comunicazioni elettroniche”, di diretta derivazione comunitaria, sono infatti rivolte a destinatari individuati non in funzione della loro qualifica soggettiva (persone fisiche o giuridiche), bensì in funzione della loro qualifica di “contraente”, termine che di recente ha sostituito nelle disposizioni del Codice quello di “abbonato”. E proprio il concetto di “abbonato”, ora “contraente”  – spiega il Garante – sulla base della direttiva 2002/58/CE,  è certamente applicabile tanto alle persone fisiche quanto a quelle  giuridiche.

L’interpretazione del Garante riconduce i “contraenti-persone giuridiche” nell’ambito di applicazione del Codice.

Resta tuttavia inalterato un impianto normativo complesso e di non agevole lettura dal quale deriva anche una riduzione di garanzie per le imprese. Ciò, anche a causa di alcuni interventi normativi che, nati con finalità semplificatorie, hanno in molti casi accresciuto il livello di incertezza interpretativa, senza assicurare le auspicate riduzioni di oneri amministrativi.

Proprio per tali ragioni, ad avviso del Garante le problematiche sollevate dall’applicazione delle nuove norme rendono quindi opportuna un’ulteriore valutazione da parte del Parlamento e del Governo al fine di verificare i presupposti per l’adozione di eventuali provvedimenti di competenza.

 

Annunci

Fisco: si del Garante Privacy ai controlli sui conti correnti

Fisco: sí del Garante Privacy agli schemi di provvedimento dell’Agenzia delle entrate sui conti correnti dei cittadini e sulla partecipazione dei Comuni alla lotta all’evasione fiscale. Necessaria una rigorosa protezione dei dati.

L’Autorità Garante per la privacy, nella riunione di ieri, ha espresso il previsto parere sullo schema di provvedimento del Direttore dell’Agenzia delle entrate riguardante le modalità con le quali le banche dovranno comunicare a fini di controllo fiscale all’Agenzia le informazioni relative ai conti correnti bancari  e ha indicato le misure di sicurezza necessarie alla protezione dei dati dei cittadini italiani.

Quali Informazioni?

Le banche dovranno comunicare all’Agenzia delle entrate le seguenti ingormazioni:

  • saldo iniziale e finale
  • importi totali degli accrediti e degli addebiti delle numerose tipologie di operazioni effettuate.

Il Garante, nel suo parere, ha innanzitutto evidenziato che non è in discussione l’esigenza di disporre delle informazioni necessarie per l’azione di contrasto all’evasione fiscale, ma ha rilevato che l’ingente flusso di dati e la loro concentrazione presso un unico soggetto rende indispensabili misure di sicurezza di natura tecnica ed organizzativa particolarmente rigorose, sia per la trasmissione dei dati che per la loro conservazione.

L’Autorità ha dunque chiesto all’Agenzia delle entrate di integrare lo schema con una dettagliata serie di misure di sicurezza.

Gli operatori finanziari e le banche dovranno, in particolare:

  • adottare meccanismi di cifratura durante tutti i passaggi interni, 
  • limitare l’accesso ai file ad un numero ristretto di incaricati, 
  • aggiornare costantemente i sistemi operativi e i software antivirus e antintrusione, 
  • prevedere solo in forma cifrata l’eventuale conservazione dei dati. 


L’Agenzia delle entrate, da parte sua, dovrà predisporre canali telematici adeguati alla comunicazioni di una elevata quantità di dati, privilegiando l’interconnessione diretta con i sistemi informativi di banche e istituti finanziari, preoccupandosi di fornire agli operatori finanziari indicazioni e accorgimenti per la predisposizione dei file da inviare.

I tempi di conservazione dei dati presso l’Anagrafe tributaria dovranno essere specificati e, una volta scaduti, dovrà essere prevista la cancellazione automatica.

Infine, il Garante si è riservato di effettuare una verifica preliminare sul provvedimento del Direttore dell’entrate con il quale saranno definiti i criteri e gli specifici tipi di dati che saranno usati per l’elaborazione delle liste di contribuenti a maggior rischio di evasione.

 

 

Comuni e lotta all’evasione fiscale

L’Autorità ha, inoltre, dato parere favorevole ad un altro schema di provvedimento del Direttore dell’Agenzia delle entrate riguardante le modalità tecniche di accesso da parte dei Comuni alle banche dati e di trasmissione delle dichiarazioni dei contribuenti ai fini della partecipazione dei Comuni stessi all’accertamento fiscale e contributivo.

L’Autorità ha richiesto:

  • l’adozione di misure tecniche e organizzative a protezione dei dati dei cittadini, e 
  • l’integrazione dello schema in particolare con la definizione delle modalità di accesso alle banche dati dell’Agenzia del territorio e dell’Inps (limitatamente a questo aspetto, il Garante ha chiesto che lo schema gli venga nuovamente sottoposto).

Con i due pareri, e ferma restando l’adozione delle misure di sicurezza indicate, il Garante ha dato così via libera alla piena e completa attuazione del decreto “Salva Italia” nella parte in cui incrementa i dati a disposizione dell’Agenzia delle entrate per la lotta all’evasione fiscale.

 

Decreto Monti e Privacy: quale rivoluzione?

Con la pubblicazione in Gazzetta Ufficiale il 6 dicembre 2011, il Decreto Monti (DL 201/2011) è entrato in vigore. Quali, dunque, le novità introdotte nel Codice Privacy dal suo Art. 40?

Diciamo una, una sola novità, ma di portata copernicana: le informazioni relative a persone giuridiche, enti o associazioni non sono più dati personali, ergo non sono più meritevoli di protezione secondo il DLgs 196/2003.

Attraverso la limitazione della definizione di dato personale che ora coinvolge solo ed esclusivamente persone fisiche, l’Italia si riallinea alla normativa della maggior parti dei Paesi dell’Unione Europea. 

Pertanto, da oggi in poi, quando si parla di “Interessato” ci si riferisce solo ad una persona fisica, unico soggetto cui l’ordinamento riconosce il sacrosanto diritto alla riservatezza e, quindi, unico soggetto che potrà esercitare i diritti previsti dall’Art. 7 del Codice Privacy (Diritto di accesso ai dati personali ed altri diritti), diritti che si sostanziano il quel diritto di partecipazione al trattamento perno dell’intero sistema privacy, ovvero il diritto:

  • di ottenere l’indicazione dell’origine dei dati personali, delle finalità e modalità del trattamento (…);
  • di ottenere l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati (…);
  • di opporsi, in tutto o in parte :
    • per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;
    • al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.

Cosa cambia nella sostanza?

Nella pratica quotidiana, a parte il venir meno dell’obbligo di Informativa verso soggetti diversi da persone fisiche,  l’unica vera rivoluzione riguarda i trattamenti finalizzati all’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale  a mezzo fax, email, Mms, Sms, che ora sono completamente liberalizzati senza più necessità di alcun consenso preventivo del destinatario società, ente, pubblica amministrazione o associazione.

Quale l’obiettivo delle modifiche al Codice Privacy?

L’obiettivo è quello di escludere dalla protezione del  Codice Privacy le informazioni relative a persone giuridiche, enti e associazioni (imprese ed enti pubblici in primis), ma non quello di eliminare gli adempimenti per questi soggetti.

Come gestire la Privacy Compliance post Decreto Monti?

Se da una parte, ora, le imprese (ed enti ed associazioni) non dovranno più preoccuparsi della normativa privacy quando trattano dati di altre imprese (ed enti ed associazioni), dall’altra parte dovranno continuare a realizzare tutti gli altri adempimenti quando trattano informazioni relative a persone fisiche, tra le quali: i propri dipendenti e collaboratori, fornitori, clienti…

In pratica, dovranno continuare ad adottare tutte le misure minime e necessarie di sicurezza previste dal DLgs 196/2003 e successivi Provvedimenti del Garante (presidiate da sanzioni sia di carattere amministrativo che penale), tra cui:

  • Redazione idonee Informative (Art. 13 DLgs 196/2003)
    • Informative Dipendenti e Collaboratori
    • Informative Clienti, Fornitori, Potenziali Clienti, Terzi
    • Informative utenti sito web
    • Informativa Candidati all’assunzione
    • Privacy Policy sito web.
  • Nomina Incaricati al trattamento dati personali (Art. 30 DLgs 196/2003)
    • Redazione documento che individua l’ambito di trattamento dati personali consentito a ciascuna unità organizzativa
    • Redazione lettere d’incarico per ciascun incaricato al trattamento dati personali
  • Nomina Responsabili al trattamento dati personali e analisi trattamenti affidati in outsourcing (Art. 29  DLgs 196/2003)
    • Redazione lettera di nomina per ciascun Responsabile al trattamento dati personali
    • Analisi dei casi specifici di affidamento dati personali all’esterno dell’Azienda
    • Analisi dei flussi di dati intra ed extra Unione Europea
    • Individuazione dell’idoneo rapporto da formalizzare con i soggetti esterni ai quali viene affidato il trattamento dati personali.
  • Disciplinare interno uso Internet e Posta elettronica (Art 154 comma 1 lett. c) DLgs 196/2003, Provvedimento Garante 1° Marzo 2007)
    • Redazione Disciplinare interno obbligatorio relativo all’uso di Internet e della posta elettronica
    • Procedura sindacale prevista dall’Art 4 L. 300/70 (Statuto Lavoratori) per l’adozione del Disciplinare
  • Nuove prescrizioni in tema di Amministratori di sistema (Art 154 comma 1 lett. c) e h) DLgs 196/2003, Provvedimento Garante 27 Novembre 2008)
    • Adempimenti procedurali e redazione documentazione richiesta dal Provvedimento Generale 27 novembre 2008 – Garante privacy
    • Adozione idoneo software.
  • Nuove prescrizioni in materia di videosorveglianza (Art. 154 comma 1, lett. c) DLgs 196/2003, provvedimento garante 8 Aprile 2010)
    • Adempimenti procedurali
    • Adozione delle nuove misure necessarie di sicurezza.
  • Gestione Privacy Policy sito web, Newsletter e Servizi interattivi
    • Procedure di gestione dati personali utenti sito web
    • Procedure di attivazione e gestione servizio Newsletter
    • Procedure di attivazione e accesso aree riservate
  • Documento Programmatico sulla Sicurezza (DPS)
    • Redazione/aggiornamento DPS in forma ordinaria/semplificata oppure autocertificazione sostitutiva,
  • Formazione del Personale

In conclusione

Il Decreto Monti ha apportato la prima vera ventata di semplificazione e razionalizzazione al nostro sistema privacy ricollocando al centro di procedure, adempimenti e misure di sicurezza l’individuo, unico soggetto degno destinatario di quella previsione così semplice e, al tempo stesso, dirompente contenuta nell’articolo di esordio del Codice privacy: 
“Chiunque ha diritto alla protezione dei dati personali che lo riguardano.”