L’informativa
Un’impresa che tratti dati personali deve spiegare agli interessati (ad esempio ai propri clienti e dipendenti), con un’informativa completa e chiara,le caratteristiche essenziali dei trattamenti effettuati: dove sono stati presi i dati, le finalità e le modalità del trattamento, se i dati debbano o possano essere forniti, i soggetti o le eventuali categorie ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza, nonché il nome di almeno un responsabile del trattamento, qualora designato. L’informativa deve essere per quanto possibile sintetica e comprensibile.
Occorre informare la persona interessata prima di cominciare a utilizzare i suoi
dati, ma tale comunicazione può avvenire anche a voce, ad esempio quando si
ha la possibilità di un contatto diretto o telefonico, o interagendo con l’interessato
anche mediante il sito web aziendale.Proprio per permettere che questo importante compito non diventi un costo per le imprese, il Garante ha consentito e suggerito forme semplificate di informativa. Ad esempio, ferme restando le specifiche norme di tutela previste dalloStatuto dei lavoratori, per informare le persone dell’esistenza di un sistema di videosorveglianza è sufficiente esporre dei cartelli che segnalino le telecamere e che indichino le finalità della ripresa. Per avvisare che un veicolo aziendale è sottoposto a geolocalizzazione si può, ad esempio, fornire una prima informativa semplificata applicando un apposito adesivo (vetrofania) ai vetri della vettura. In casi particolari, il singolo imprenditore o la stessa associazione di categoria possono rivolgersi al Garante per chiedere un esonero o per definire ulteriori procedure semplificate nel caso in cui, ad esempio, si debba contattare un numero molto elevato di persone difficilmente raggiungibili.
Il consenso
L’impresa, dopo aver informato l’interessato, deve in genere chiedergli il consenso per utilizzare i suoi dati personali (si parla infatti di consenso “informato”). Tale consenso, affinché il trattamento dati svolto possa considerarsi legittimo, deve essere liberamente espresso e documentato per iscritto (se è stato espresso a voce, ad esempio, si può tenere traccia da chi, dove e quando sia stato ottenuto il consenso).
È anche necessario differenziare il consenso richiesto in base allo specifico tipo
di trattamento che si vuole effettuare, eventualmente spiegando alla persona
interessata, ad esempio un cliente, quali benefici può avere offrendo il suo assenso
A tal proposito, l’utilizzo dei dati personali per finalità di marketing non può
essere reso di fatto obbligatorio, condizionando ad esempio l’accesso ai contenuti
informativi di un sito web al rilascio del consenso a trattare i dati per finalità
diverse, quali la profilazione e il marketing. Occorre fare attenzione anche quando si acquisiscono liste di dati personali da soggetti terzi e non direttamente dagli interessati.
Prima di utilizzarli è infatti necessario verificare se gli interessati abbiano dato il
proprio consenso (magari con verifiche a campione sui dati acquistati) al tipo di
trattamento dati che si vuole svolgere, come quello per l’invio di offerte commerciali.
L’azienda dovrà poi ricordarsi di fornire l’informativa alle persone interessate già
al momento della registrazione o del primo utilizzo dei loro dati.
Quando il consenso non è necessario
Il Codice della privacy e le ulteriori semplificazioni introdotte dal Garante prevedono
casi in cui non è richiesto il consenso delle persone interessate, siano esse clienti o
dipendenti, fornitori o semplici utenti, affinché l’impresa possa trattare i loro dati
personali. Il consenso non è richiesto quando il trattamento è previsto da un
obbligo di legge (come quello che impone agli alberghi di comunicare le generalità delle
persone alloggiate alle autorità di pubblica sicurezza), da un regolamento o dalla
normativa comunitaria. Il consenso non è necessario quando i dati vengono trattati per adempiere, prima della conclusione di un contratto, a specifiche richieste dell’interessato, come avviene per i dati necessari per la concessione di un mutuo.
Il consenso non occorre neppure per il trattamento dei dati necessari per
l’esecuzione di un contratto già in essere, come quelli per la fatturazione di un
prodotto o servizio. Riguardo a quest’ultimo punto, le società non devono, ad
esempio, chiedere ai “clienti” il consenso per l’uso dei loro dati quando rilasciano
carte di fedeltà (come quelle dei supermercati o dei benzinai) al solo fine di offrire
sconti, premi, bonus, servizi accessori, facilitazioni di pagamento.
In questo caso, infatti, il trattamento di dati è necessario per eseguire gli obblighi
derivanti dal contratto di fidelizzazione sottoscritto. È invece richiesto uno specifico
consenso per usare gli stessi dati per altri fini come la profilazione, lo studio dei
comportamenti e delle scelte d’acquisto, il marketing in generale.
I consumatori hanno il diritto di non dare il consenso all’uso dei dati per tali scopi,
senza per questo dover rinunciare alla tessera di fidelizzazione.
Le imprese sono invece esonerate dall’obbligo di acquisizione del consenso per
le attività promozionali e di marketing rivolte ai propri clienti effettuate tramite la
posta elettronica o la posta cartacea.
In particolare, una società non deve richiedere il consenso per inviare comunicazioni
promozionali che riguardino prodotti e servizi alla persona che ha già acquistato,
dallo stesso titolare, beni analoghi (è il cosiddetto “soft spam”).
Naturalmente il cliente deve essere adeguatamente informato anche riguardo
alla possibilità di opporsi in qualunque momento all’uso dei propri dati, in
maniera agevole e gratuita, anche a voce o con l’invio di una e-mail, ottenendo un
tempestivo riscontro dall’impresa che confermi l’interruzione delle comunicazioni
commerciali.
Si possono trattare senza consenso anche i dati relativi allo svolgimento di
attività economiche, nel rispetto della normativa in materia di segreto aziendale
e industriale, compiute dall’interessato (ad esempio i dati relativi allo stato di
insolvenza o alla correttezza commerciale di una impresa individuale).
Non è necessario il consenso degli interessati neppure per utilizzare i dati
personali provenienti da pubblici registri, elenchi, atti o documenti conoscibili
da chiunque.Il fatto che un dato sia conoscibile da chiunque non significa, però, che possa essere utilizzato per qualunque attività.
In particolare, va rispettato il vincolo di finalità è cioè che i dati disponibili al
pubblico possono essere utilizzati solo se il trattamento svolto (come l’invio di
comunicazioni informative) risulta strettamente attinente alla specifica attività
svolta dall’interessato e che è posta alla base della pubblicazione di quei medesimi
dati.
Ad esempio, i dati del Pubblico Registro Automobilistico si possono usare senza
consenso per finalità attinenti la sicurezza stradale (ad esempio per ricordare
l’obbligo di revisione periodica dell’autoveicolo) ma non per l’invio di pubblicità.
E’ inoltre previsto che non sia richiesto il consenso per alcune attività svolte
all’interno di gruppi di imprese come nel caso in cui sia necessario comunicare
i dati per finalità meramente amministrativo-contabili. Infine, non è necessario
ottenere il consenso dell’interessato quando il trattamento dei dati è necessario
ai fini dello svolgimento di investigazioni difensive o comunque per far valere un
diritto in sede giudiziaria.
Il consenso e i dati sensibili
I dati sensibili, come le informazioni sulla salute di una persona, necessitano di
tutele rafforzate.Per poterli utilizzare, l’impresa deve prima ottenere il
consenso scritto della persona interessata e l’autorizzazione del Garante.
Anche in questo caso, per agevolare la normale attività imprenditoriale, l’Autorità
ha semplificato al massimo le procedure e ha adottato alcune autorizzazioni
generali che valgono per intere categorie di soggetti o per determinate tipologie
di trattamento, al fine di definire le regole per gli utilizzi più comuni ed evitare la
richiesta di autorizzazioni ad hoc.
Ne rappresenta un esempio l’autorizzazione generale per il trattamento dei dati
sensibili o giudiziari nell’ambito del rapporto di lavoro o per il trattamento effettuato
da liberi professionisti o da organismi di tipo associativo o dalle fondazioni.
In specifici casi, al fine di facilitare l’uso dei dati, non è previsto neppure il consenso
dell’interessato, come per l’adempimento degli specifici obblighi e compiti previsti
per la gestione del rapporto di lavoro durante tutte le fasi.
