CIVILE e PROCESSO

Ci si riferisce all’entrata in vigore del decreto legislativo 28 maggio 2012, n. 69 intitolato «Modifiche al decreto legislativo 30 giugno 2003, n. 196, recante codice in materia di protezione dei dati personali in attuazione delle direttive 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, e 2009/140/CE in materia di reti e servizi di comunicazione elettronica e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori» (di seguito, il “Decreto”) che, nell’ambito del recepimento delle direttive comunitarie di aggiornamento e integrazione della riforma del quadro regolamentare delle comunicazioni elettroniche introdotto per la prima volta nel 2002, ha apportato specifiche modifiche e integrazioni al d.lgs. 30 giugno 2003, n. 196 (Codice della privacy).
Tante le novità: dalla nuova definizione di «violazione dei dati personali» al rafforzamento dell’opt-in. Sarebbero parecchi e interessanti gli spunti di analisi e di approfondimento delle novità introdotte dal Decreto nel Codice della privacy, novità che in tale sede ci si limiterà solo a segnalare per fornire al lettore un sintetico quadro complessivo.
Ad esempio, vengono introdotte modifiche alle definizioni dell’art. 4 del Codice che sostituiscono o integrano i concetti giuridici di chiamata, reti di comunicazione elettronica, rete pubblica di comunicazioni in conformità alle definizioni già presenti nell’ordinamento comunitario.
E’ altresì introdotta nel Codice della privacy la nuova definizione di «violazione dei dati personali», intesa come una «violazione della sicurezza che comporta anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l'accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico».
Ancora, viene modificato l’art. 32 del Codice sugli obblighi di sicurezza per i fornitori di servizi di comunicazione elettronica accessibili al pubblico (ora estesi anche ai diversi soggetti cui sia affidata l’erogazione dei predetti servizi), e viene aggiunto il nuovo art. 32-bis rubricato «Adempimenti conseguenti ad una violazione di dati personali», che prevede misure che includono l’obbligo per un fornitore dei servizi di comunicazione elettronica di segnalare al Garante privacy l’avvenuta violazione di dati personali e – nei casi di violazioni che rischino di pregiudicare tali dati o la riservatezza di un contraente o di un’altra persona -  l’obbligo di comunicare la violazione direttamente anche a questi ultimi (tra l’altro, tali fornitori sono ora obbligati dal nuovo art. 132-bis del Codice – come introdotto dal Decreto – ad istituire apposite e specifiche procedure interne per corrispondere alle richieste di accesso a propri dati personali trasmesse dagli utenti, dovendo altresì fornire al Garante privacy – a richiesta -  le informazioni su tali procedure, sul numero di richieste ricevute, sui motivi legali addotti e sulle risposte date).
E ancora, il Decreto ha modificato l’art. 122 del Codice rafforzando l’opt-in e dunque la necessità del consenso (previa informativa, anche semplificata) - da acquisirsi anche mediante particolari configurazioni di programmi informatici - per poter archiviare le informazioni nell’apparecchio terminale di un contraente od utente o per accedere ad informazioni già archiviate (è la tematica dei cookies o similari sulla Rete), restando comunque salva la possibilità di accedere (senza consenso) alle sole informazioni già archiviate per necessità tecniche finalizzate unicamente ad effettuare la trasmissione o ad erogare un servizio richiesto dal contraente o dall’utente.
Nuove sanzioni per chi omette di comunicare l’avvenuta violazione di dati personali. Inoltre, l’impianto sanzionatorio del Codice della privacy viene arricchito e coordinato con specifico riferimento al nuovo art. 32-bis introdotto dal Decreto: il nuovo art. 162-ter prevede difatti una serie di sanzioni amministrative applicabili sia ai fornitori di servizi di comunicazione elettronica che ai soggetti cui questi abbiano l'erogazione dei predetti servizi: si va dalla sanzione da venticinquemila a centocinquantamila Euro per violazione dell’obbligo di comunicare tempestivamente al Garante una avvenuta «violazione di dati personali», alla sanzione da centocinquanta euro a mille euro (nei limiti complessivi sanzionatori pari al 5% del volume d’affari del fornitore come risultante dall’ultimo esercizio antecedente alla verificata violazione) per ciascun contraente o altra persona nei cui confronti venga omessa o ritardata la comunicazione diretta e aggiuntiva a tali soggetti di violazioni che rischiano di pregiudicare la riservatezza dei loro dati personali. Nel caso poi in cui i fornitori non tengano un aggiornato inventario delle violazioni di dati personali, ivi incluse le circostanze in cui si sono verificate, le loro conseguenze e i provvedimenti adottati per porvi rimedio (utilizzando però le sole informazioni essenziali a tali scopi), è prevista l’applicazione di una sanzione da ventimila Euro a centoventimila Euro. Infine, mentre alle nuove sanzioni si applicano gli stessi meccanismi di riduzione o aumento degli importi già previsti per le ipotesi di minore o maggiore gravità delle violazioni (l’art. 164-bis del Codice è stato integrato con la specifica menzione del nuovo art. 162-ter), si segnala che anche alcune previsioni di sanzioni penali sono state coordinate con il nuovo art. 32-bis: l’art. 168 del Codice (Falsità nelle dichiarazioni e notificazioni al Garante) estende infatti la previsione della reclusione da sei mesi a tre anni anche alle ipotesi  di false dichiarazioni o attestazioni di notizie o circostanze o produzione di atti o documenti falsi nell’ambito delle comunicazioni obbligatorie ora previste dall’art. 32-bis del Codice in capo ai fornitori di servizi di comunicazione elettronica.
Rimane comunque una certa ambiguità lavorativa. Anche se – come si segnalava – non mancherebbero spunti di riflessione sulle molte novità introdotte dal Decreto, nel presente contributo ci si soffermerà a valutare un aspetto specifico, e cioè l’impatto pratico e organizzativo delle modifiche (ulteriori a quelle citate più sopra) rispetto alla tematica del trattamento dei dati personali di persone giuridiche, enti, associazioni per finalità di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale (di seguito, in senso lato, marketing).

Tale aspetto si presenta di particolare rilevanza poiché dopo il decreto Salva-Italia del dicembre 2011 e l’introduzione del principio semplificatore di inapplicabilità del Codice della privacy ai dati delle persone giuridiche, è rimasta una forte ambiguità interpretativa circa la permanenza degli obblighi privacy ai dati delle imprese, sia pure limitatamente ai trattamenti marketing. Appare dunque utile analizzare in quest’ottica il decreto n. 69/2012 per tentare di verificare se le modifiche in vigore dal 1° giugno 2012 abbiano o meno apportato i necessari chiarimenti rispetto ad una tematica assai avvertita dal mercato.