In generale è una regola di buon senso (sancita anche dalla legge) quella di informare il legittimo proprietario e di chiedere il suo permesso prima di utilizzare un bene che gli appartiene. Tale accortezza consente di mantenere proficui rapporti personali e professionali. Se il bene in questione è un “dato personale”, occorre rivolgersi alla persona fisica a cui si riferiscono i dati, ovvero all’interessato. Anche in questo caso, il Codice della privacy definisce con maggiore precisione le prassi di trasparenza e correttezza, contribuendo a facilitare i rapporti dell’impresa con i consumatori (e tutti gli interessati) e a prevenire eventuali contenziosi.
Informativa – la semplicità al primo posto
Un’impresa che tratti dati personali deve quindi spiegare agli interessati (ad esempio ai propri clienti e dipendenti), con un’informativa completa e chiara, le caratteristiche essenziali dei trattamenti effettuati: dove sono stati presi i dati, le finalità e le modalità del trattamento, se i dati debbano o possano essere forniti (ad esempio è necessario il conferimento dei dati per la fatturazione di un servizio, mentre è facoltativo fornire informazioni a fini di profilazione), i soggetti o le eventuali categorie ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza, nonché il nome di almeno un responsabile del trattamento, qualora designato.
È bene rimarcare che l’informativa deve essere per quanto possibile sintetica e comprensibile: meglio se espressa attraverso simboli o icone, specialmente nei vari contesti tecnologici, anziché attraverso testi lunghi e burocratici. Le imprese hanno grandi capacità di comunicazione che, se utilizzate, consentono di migliorare ulteriormente la trasparenza in questo campo.
Bisogna informare la persona interessata prima di cominciare a utilizzare i suoi dati, ma tale comunicazione può avvenire anche a voce, ad esempio quando si ha la possibilità di un contatto diretto telefonico, o interagendo con l’interessato anche mediante il sito web aziendale.
Proprio per permettere che questo importante compito non diventi un costo per le imprese, il Garante ha consentito e suggerito forme semplificate di informativa, adatte alle specifiche esigenze espresse da singoli imprenditori o dalle associazioni di categoria. Ad esempio, ferme restando le specifiche norme di tutela previste dallo Statuto dei lavoratori, per informare le persone dell’esistenza di un sistema di videosorveglianza in un supermercato è sufficiente esporre dei cartelli che segnalino le telecamere e che indichino le finalità della ripresa e il nome del responsabile del trattamento a cui rivolgersi per eventuali informazioni aggiuntive.
Per avvisare che un veicolo aziendale è sottoposto a geolocalizzazione si può, ad esempio, fornire una prima informativa semplificata applicando un apposito adesivo (vetrofania) ai vetri della vettura. Un call center che offre assistenza ai clienti può proporre un breve messaggio preregistrato per informarli sul trattamento dei loro dati prima della fornitura del servizio(ne sono un esempio i messaggi proposti dalle centrali radio taxi).
In casi particolari, il singolo imprenditore o la stessa associazione di categoria possono rivolgersi al Garante per chiedere un esonero o per definire ulteriori procedure semplificate nel caso in cui, ad esempio, si debba contattare un numero molto elevato di persone difficilmente raggiungibili. Se l’informativa individuale richiede tempi sproporzionati, l’Autorità può così autorizzare anche la sola pubblicazione dell’informativa su un sito internet o altri media, magari rinviando la comunicazione individuale al primo contatto utile con l’interessato.
Consenso
L’impresa, dopo aver informato l’interessato, deve in genere chiedergli il consenso per utilizzare i suoi dati personali: tanto che si parla di consenso “informato”. Tale consenso, affinché il trattamento dati svolto possa considerarsi legittimo, deve essere liberamente espresso, evitando quindi di adottare condizionamenti o pressioni per ottenerlo, documentato per iscritto (se è stato espresso a voce, ad esempio, si può tenere traccia da chi, dove e quando sia stato ottenuto il consenso). È anche necessario differenziare il consenso richiesto in base allo specifico tipo di trattamento che si vuole effettuare, eventualmente spiegando alla persona interessata – ad esempio un cliente – quali benefici può avere offrendo il suo assenso al trattamento dei dati (servizi personalizzati, offerte di prodotti particolari o vantaggi commerciali…).
A tal proposito, è bene ricordare che l’utilizzo dei dati personali per finalità di marketing non può essere reso di fatto obbligatorio, condizionando ad esempio l’accesso ai contenuti informativi di un sito web al rilascio del consenso a trattare i dati per finalità diverse, quali la profilazione e il marketing.
Occorre fare attenzione anche quando si acquisiscono liste di dati personali da soggetti terzi e non direttamente dagli interessati: prima di utilizzarli è infatti necessario verificare se gli interessati abbiano dato il proprio consenso (magari con verifiche a campione sui dati acquistati) al tipo di trattamento dati che si vuole svolgere, come quello per l’invio di offerte commerciali. L’azienda dovrà poi ricordarsi di fornire l’informativa alle persone interessate già al momento della registrazione o del primo utilizzo dei loro dati.
Consenso non necessario – alcuni esempi
Il Codice della privacy e le ulteriori semplificazioni introdotte dal Garante prevedono numerosi casi in cui non è richiesto il consenso delle persone interessate – siano esse clienti o dipendenti, fornitori o semplici – affinché l’impresa possa trattare i dati personali.
Naturalmente il consenso non è richiesto quando il trattamento è previsto da un obbligo di legge quello che impone agli alberghi di comunicare le generalità delle persone alloggiate alle autorità di pubblica sicurezza), da un regola o dalla normativa comunitaria.
Inoltre, il consenso non è necessario quando i dati vengono trattati per adempiere, prima della conclusione di un contratto, a specifiche richieste dell’interessato, come avviene per i dati necessari per la concessione di un mutuo bancario (ad esempio la copia del preliminare di acquisto della casa). Il consenso non occorre neppure per il trattamento dei dati necessari per l’esecuzione di un contratto già in essere, come quelli per la fatturazione di un prodotto o servizio. Riguardo a quest’ultimo punto, è bene ricordare che le società non devono, ad esempio, chiedere ai “clienti” il consenso per l’uso dei loro dati quando rilasciano carte di fedeltà (come quelle dei supermercati o dei benzinai) al solo fine di offrire sconti, premi, bonus,servizi accessori, facilitazioni di pagamento; in questo caso, infatti, il trattamento di dati è necessario per eseguire gli obblighi derivanti dal contratto di fidelizzazione sottoscritto. È invece richiesto uno specifico consenso per usare gli stessi dati per altri fini come la profilazione, lo studio dei comportamenti e delle scelte d’acquisto, il marketing in generale. I consumatori hanno il diritto di non dare il consenso all’uso dei dati per tali scopi, senza per questo dover rinunciare alla tessera di fidelizzazione.
Le imprese sono invece esonerate dall’obbligo di acquisizione del consenso per le attività promozionali e di marketing rivolte ai propri clienti effettuate tramite la posta elettronica o la posta cartacea. In particolare, una società non deve richiedere il consenso per inviare comunicazioni promozionali che riguardino prodotti e servizi alla persona che ha già acquistato, dallo stesso titolare, beni analoghi (è il cosiddetto “soft spam”).
Naturalmente il cliente deve essere adeguatamente informato anche riguardo alla possibilità di opporsi in qualunque momento all’uso dei propri dati, in maniera agevole e gratuita,anche a voce o con l’invio di una e-mail ottenendo un tempestivo riscontro dall’impresa che confermi l’interruzione delle comunicazioni commerciali.
Si possono trattare senza consenso anche i dati relativi allo svolgimento di attività economiche – naturalmente nel rispetto della vigente normativa in materia di segreto aziendale e industriale – compiute dall’interessato (ad esempio i dati relativi allo stato di insolvenza o alla correttezza commerciale di una impresa individuale).
Non è necessario il consenso degli interessati neppure per utilizzare i dapersonali provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque. Il fatto che un dato sia conoscibile da chiunque non significa, però, che possa essere utilizzato per qualunque attività. In particolare, va rispettato rigorosamente il vincolo di finalità: i dati disponibili al pubblico possono essere utilizzati solo se il trattamento svolto (come l’invio di comunicazione informative) risulta strettamente attinente alla specifica attività svolta dall’interessato e che è posta alla base della pubblicazione di quei medesimi dati. I dati del PRA (Pubblico Registro Automobilistico) si possono usaresenza consenso per finalità attinent ila sicurezza stradale (ad esempio per ricordare l’obbligo di revisione periodica dell’autoveicolo) ma non per l’invio di pubblicità come quelle su pezzi di ricambio e accessori.
Al fine di evitare inutili adempimenti, è inoltre previsto che non sia richiesto il consenso per alcune attività svolte all’interno di gruppi di imprese come nel caso in cui sia necessario comunicare i dati per finalità meramente amministrativo-contabili(ad esempio quelli che possono riguardare clienti, fornitori e dipendenti).
Si segnala infine, tra i numerosi casi,che non è necessario ottenere il consenso dell’interessato anche quando il trattamento dei dati è necessario ai fini dello svolgimento di investigazioni difensive o comunque per far valere un diritto in sede giudiziaria.
Consenso e dati sensibili
È necessario ricordare che i dati sensibili, come le informazioni sulla salute di una persona, necessitano di tutele rafforzate. Per poterli utilizzare, l’impresa deve prima ottenere il consenso scritto della persona interessata e l’autorizzazione del Garante. Anche in questo caso, per agevolare la normale attività imprenditoriale, l’Autorità fin dalle sue origini ha semplificato al massimo le procedure e ha adottato alcune autorizzazioni generali che valgono per intere categorie di soggetti o per determinate tipologie di trattamento, al fine di definire le regole per gli utilizzi più comuni ed evitare la richiesta di autorizzazioni ad hoc. Ne rappresenta un esempio l’autorizzazione generale per il trattamento dei dati sensibili o giudiziari nell’ambito del rapporto di lavoro o per il trattamento effettuato da liberi professionisti o da organismi di tipo associativo o dalle fondazioni. In specifici casi, al fine di facilitare l’uso dei dati, non è previsto neppure il consenso dell’interessato, come per l’adempimento degli specifici obblighi e compiti previsti per la gestione del rapporto di lavoro.
