La recente Manovra Monti ha previsto alcune semplificazioni in materia di privacy a carico delle imprese, inserendo i provvedimenti nel più vasto ambito delle riduzioni degli adempimenti amministrativi a carico delle stesse.

L'art. 40 (Riduzione degli adempimenti amministrativi per le imprese), comma 2, della recente Manovra Monti (decreto legge 6 dicembre 2011, n. 201, attualmente in fase di conversione in legge da parte del Parlamento convertito con la Legge n. 214 del 2011), infatti, ha modificato in più parti il Codice in materia di protezione dei dati personali di cui al d. lgs. 196/2003 (nota: la versione linkata è quella presente sul sito delle Camere ma non è aggiornata! Qui una introduzione alla normativa sulla privacy.) portando una serie di conseguenze interpretative che riverberano i propri effetti più sul piano processuale che su quello pratico.

La conclusione a cui giungono i commentatori, infatti, evidenzia il fallimento dell'obiettivo della riduzione degli oneri amministrativi a carico delle imprese.

Le novità riguardano soprattutto la minore tutela dei dati personali relativi alle persone giuridiche. Le stesse, tuttavia, continuano ad essere soggette agli obblighi previsti dal Codice della privacy quando trattano dati personali di persone fisiche. I commentatori, quindi, pongono l'accento sulla impossibilità, per una qualunque persona giuridica, di astenersi dal trattare dati personali di persone fisiche. Questa sarebbe la ragione che vanifica la tanto pubblicizzata riduzione degli oneri in materia di privacy a carico, tra le altre persone giuridiche, delle imprese.

Della Manovra Monti si è già parlato su queste pagine con riferimento all'abbassamento del limite a 1000 Euro per l'uso del contante. Anche questa disposizione ha fatto registrare voci discordi tra chi la ritiene una soglia eccessivamente basse e chi, invece, la ritiene una misura corretta che può effettivamente contrastare l'evasione fiscale.

Il testo dell'art. 40, comma 2 e i nuovi articoli come modificati

Di seguito il testo degli articoli come modificati dall'art. 40. Se vuoi capire quali sono le differenze senza leggere gli articoli salta questo paragrafo e leggi il successivo.

Le modifiche al Codice in materia di protezione dei dati personali sono contenute nel comma 2 dell'articolo 40 della Manovra Monti che così recita

Per la riduzione degli oneri in materia di privacy, sono apportate le seguenti modifiche al decreto legislativo 30 giugno 2003, n. 196:
a) all'articolo 4, comma 1, alla lettera b), le parole «persona giuridica, ente od associazione» sono soppresse e le parole «identificati o identificabili» sono sostituite dalle parole «identificata o identificabile».
b) All'articolo 4, comma 1, alla lettera i), le parole «la persona giuridica, l'ente o l'associazione» sono soppresse.
c) Il comma 3-bis dell'articolo 5 è abrogato.
d) Al comma 4, dell'articolo 9, l'ultimo periodo è soppresso.
e) La lettera h) del comma i dell'articolo 43 è soppressa.

Quindi, ora il testo dell'articolo 4 (Definizioni), comma 1, lettera b) e lettera i) è il seguente

Ai fini del presente codice si intende per:
[…] b) "dato personale", qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, identificata o identificabile anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;[…] i) "interessato", la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali;[…]

Il comma 3-bis dell'articolo 5 (Oggetto ed ambito di applicazione) è stato abrogato e recitava

Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell'ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalita' amministrativo - contabili, come definite all'articolo 34, comma 1-ter, non e' soggetto all'applicazione del presente codice.

Il comma 4 dell'articolo 9 (Modalità di esercizio) ora recita

L'identità dell'interessato è verificata sulla base di idonei elementi di valutazione, anche mediante atti o documenti disponibili o esibizione o allegazione di copia di un documento di riconoscimento.
La persona che agisce per conto dell'interessato esibisce o allega copia della procura, ovvero della delega sottoscritta in presenza di un incaricato o sottoscritta e presentata unitamente a copia fotostatica non autenticata di un documento di riconoscimento dell'interessato. Se l'interessato è una persona giuridica, un ente o un'associazione, la richiesta è avanzata dalla persona fisica legittimata in base ai rispettivi statuti od ordinamenti.

La lettera h) dell'articolo 43 (Trasferimenti consentiti in paesi terzi) recitava

h) il trattamento concerne dati riguardanti persone giuridiche, enti o associazioni.

Come si vede chiaramente è stato eliminato ogni riferimento alle persone giuridiche che risultano, ora, non più tutelate dal Codice in materia di protezione dei dati personali.

Le modifiche alla disciplina del telemarketing

Più commentatori hanno osservato (G. Scorza, M. Iaselli) che si continuano ad applicare l'art. 129 (Elenchi degli abbonati) e 130, comma 3-bis (Comunicazioni indesiderate) che fanno riferimento all'abbonato e non all'interessato.

La definizione di abbonato è data dalla lettera f) dell'articolo 4, comma 2 secondo il quale

[…] si intende, inoltre, per:[…] f) "abbonato", qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate;[…]

Di conseguenza le persone giuridiche potranno continuare ad esercitare il diritto di opposizione all'inserimento dei propri dati negli elenchi pubblici.

I problemi organizzativi

Si è evidenziato da più parti che, nonostante a prima vista appaia il contrario, in realtà le imprese hanno visto semplicemente ridotta la propria tutela, mentre dovranno comunque continuare ad ottemperare agli altri obblighi previsti dal Codice in materia di protezione dei dati personali, come l'adozione di misure minime e misure idonee di sicurezza o come la redazione del DPS.

Sebbene nel Decreto Sviluppo di Maggio (convertito poi in Luglio con la L. 106/2011) siano state previste delle prime semplificazioni e la rimozione di alcuni obblighi in casi particolari, infatti, i commentatori pongono l'accento sul fatto che molto difficilmente un'impresa tratta dati personali riferiti esclusivamente a persone giuridiche. La normalità dei casi vuole che siano trattati anche dati personali di persone fisiche ed è proprio in tali casi che continua a sussistere l'obbligo di cui sopra.

Conclusioni: meno tutela processuale, uguali obblighi organizzativi

In conclusione si può dire che da una prima lettura ed interpretazione delle nuove norme il quadro risulta mutato solo nel senso che le imprese hanno una minore tutela dei propri dati, non rientrando più nella definizione di "interessato" e non potendo più, di conseguenza, esercitare i diritti di cui all'art 7. del codice della privacy (A. Lisi e G. Garrisi) A fronte di questa, però, continuano a dover sopportare i costi legati alla corretta gestione della privacy delle persone fisiche dei cui dati dovessero entrare in possesso.

Il criterio discriminante, quindi, per capire se un'impresa è effettivamente avvantaggiata da queste misure è il soggetto di cui tratta i dati personali: se persone fisiche allora nulla cambia; viceversa se sono trattati solo dati personali di persone giuridiche allora si potrà fare a meno di ottemperare a tutti gli obblighi previsti.

Il coordinamento con il Decreto Sviluppo di Maggio 2011

La normativa in materia di privacy era già stata modificata dal cosiddetto Decreto Sviluppo (approvato con Decreto-legge 13 maggio 2011 , n. 70 coordinato con la legge di conversione 12 luglio 2011, n. 106, pubblicato sulla Gazzzetta Ufficiale n. 160 del 12-7-2011) che aveva previsto semplificazioni burocratiche per il caso di trattamenti di dati personali relativi a dipendenti o a candidati che avessero inviato i propri curricula.

Alla luce di quelle modifiche forse si riduce (si lascia alla prassi la valutazione quantitativa) l'entità di dati personali realtivi a persone fisiche trattati dalle imprese e dalle altre persone giuridiche.

Forse, non certamente come già fatto notare in precedenza. Come detto, infatti, è necessario prestare molta attenzione ai soggetti cui si riferiscono tali dati: persone fisiche o persone giuridiche?

Certamente è consigliato, prima di trarre qualunque conclusione circa la propria posizione, consultare un avvocato esperto di privacy e di commercio elettronico.

Conseguenze per il commercio elettronico delle modifiche alla privacy da parte della Manovra Monti

In materia di commercio elettronico le conseguenze non sono molto diverse da quelle previste per il resto delle imprese.

Già con la previgente disciplina, infatti i commercianti elettornici avevano l'obbligo di adottare le misure minime di sicurezza e l'onere di adottare quelle idonee, come per esempio i certificati digitali.

Con la nuova normativa anche per i merchant che gestiscono siti di commercio elettronico vale il criterio sopra espresso: se si trattano solo dati personali di persone giuridiche si potrà fare a meno di ottemperare ai numerosi obblighi previsti dalla normativa in materia di privacy. Viceversa, nel caso si dovessero trattare anche dati personali di persone giuridiche, allora nulla cambia nella sostanza.