Comunicazioni elettroniche indesiderate e tutela delle persone giuridiche: il Garante ci aiuta a capirne di più

News 10/01/2013

di avv. Graziano Garrisi (Vice Coordinatore nazionale ABIRT) e dott.ssa Debora Montagna
pubblicato su Information Security - Anno 3 - Numero 16 - Dic 2012

Il Garante per la protezione dei dati personali con il recente provvedimento n. 262 del 20 settembre 2012, relativo "all'applicabilità alle persone giuridiche del Codice in materia di protezione dei dati personali a seguito delle modifiche apportate dal d.l. n. 201/2012", ha ritenuto che, nonostante le modifiche apportate al Codice Privacy dal secondo comma dell'art. 40 del citato decreto, deve comunque continuare ad essere applicato a persone giuridiche, enti ed associazioni il capo 1 (relativo ai servizi di comunicazione elettronica) del titolo X (Comunicazioni elettroniche) del Codice, rectius le disposizioni ivi contenute che riguardano i "contraenti", a prescindere dal loro essere persone fisiche ovvero giuridiche, enti ed associazioni.

Nel corso degli ultimi anni, infatti, il Codice Privacy è stato oggetto di numerose modifiche e interventi volti a scarnificarlo nei contenuti e a ridurne la portata applicativa in capo alle persone giuridiche. Nel solco di questa tradizione, pertanto, l'articolo 40 del D.L. n. 20/2011, al secondo comma, ha apportato delle modifiche al decreto legislativo 30 giugno 2003, n. 196 ritenendole necessarie al fine di ridurre ulteriormente gli oneri in materia di privacy. In particolare:

- è stato modificato l'articolo 4 (Definizioni) del Codice privacy. Al comma 1 lettera b) sono state soppresse le parole "persona giuridica, ente o associazione" e le parole "identificati o identificabili" sono state sostituite dalle parole "identificata o identificabile", mentre al comma 1, lettera i), sono state soppresse le parole "la persona giuridica, l'ente o l'associazione";
- il comma 3-bis dell'articolo 5 (Oggetto e ambito di applicazione) è stato abrogato;
- al comma 4, dell'articolo 9 (Modalità di esercizio dei diritti dell'interessato), l'ultimo periodo è stato soppresso;
- la lettera h) del comma 1 dell'articolo 43 (Trasferimento dei dati verso Paesi terzi) è stata soppressa.

Questi articoli, così come modificati dal citato articolo 40, fanno ora esclusivo riferimento alle persone fisiche e non già, come prima della modifica, anche a quelle giuridiche, a enti e ad associazioni.
Date le numerose istanze pervenute, a seguito delle modifiche apportate dall'articolo 40, circa l'applicabilità o meno di alcune disposizioni del Codice Privacy al trattamento dei dati relativo alle persone giuridiche, enti ed associazioni, il Garante ha pertanto inteso fornire alcune indicazioni con il provvedimento di cui trattiamo.

Nel provvedimento si rammenta che la direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, relativa alla "tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati", aveva lasciato un margine di manovra ampio agli Stati membri e, quindi, era stata a loro rimessa la facoltà di prevedere, in fase di recepimento, l'estensione dell'applicabilità delle norme in materia di privacy anche alle persone giuridiche ovvero di limitarla esclusivamente ai trattamenti di dati delle sole persone fisiche. La soluzione scelta dal legislatore italiano, sia nel 1996 sia nel 2003, pertanto, è stata la prima che ha optato per la soluzione più tutelante anche in favore delle persone giuridiche nella specifica qualifica di interessati.

Ora, a seguito delle abrogazioni di cui all'art. 40 - essendo stati abrogati i riferimenti relativi a "persona giuridica, ente od associazione" – molti avranno pensato che la portata applicativa delle disposizioni del Codice che riguardano gli interessati ovvero il trattamento di dati personali sia stata limitata in via esclusiva alle persone fisiche e ai trattamenti di informazioni personali che vi si riferiscono. Difatti, per dato personale deve intendersi "qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale" (art. 4 comma 1 lettera b) e per interessato esclusivamente "la persona fisica cui si riferiscono i dati personali" (art. 4 comma 1 lettera i).
In particolare, il problema che l'Autorità Garante si pone è relativo alle comunicazioni elettroniche di cui al titolo X del codice, titolo che, emanato in attuazione della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, è stato modificato ed integrato recentemente anche dal d.lgs. n. 69 del 28 maggio 2012.
Il Garante si è, quindi, preoccupato di precisare se le persone giuridiche siano ricomprese, al pari delle persone fisiche, nel campo di applicazione delle disposizioni sulle comunicazioni elettroniche.

Il problema si pone dato che l'art. 121¹, norma che individua l'ambito di applicazione delle regole relative ai servizi di comunicazione elettronica e che non risulta interessato dalla riforma, fa esplicito riferimento al trattamento di dati personali e, quindi, richiama la definizione di cui all'art. 4, comma 1, lett. b) che ora si riferisce solo alle persone fisiche.
Nonostante quanto appena riportato possa indurre a pensare che la disciplina delle comunicazioni elettroniche non sia applicabile alle persone giuridiche, altre disposizioni contenute nel capo 1 "servizi di comunicazione elettronica" del titolo X del Codice Privacy richiamano, invece, la definizione di "contraente"²  che chiaramente si riferisce sia a persone fisiche sia a persone giuridiche.
Contraente è, infatti, qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate.

A supporto di questa interpretazione letterale, si riporta il considerando 12 della direttiva 2002/58/CE da cui, come abbiamo già detto, trae origine la disciplina relativa alle comunicazioni elettroniche: "gli abbonati ad un servizio di comunicazione elettronica accessibile al pubblico possono essere persone fisiche o persone giuridiche".
Il Garante afferma, inoltre, che ulteriori conferme alla linea interpretativa appena tracciata provengono dalle modifiche apportate dal d.lgs. n. 69 del 2012 all'art. 130 del Codice Privacy che è rubricato "Comunicazioni indesiderate".

Innanzitutto è bene precisare che la formulazione precedente dell'articolo 130 del Codice Privacy, ai commi 1 e 2, considerava solo "l'interessato" e ciò, in seguito alle modifiche apportate dall'art. 40 D.L. 201/2012³, implicava l'inapplicabilità alle persone giuridiche, enti e associazioni delle tutele previste dalle norme suddette, rendendole liberamente contattabili per finalità promozionali attuate con sistemi automatizzati di chiamata oppure per il tramite degli strumenti di posta elettronica, telefax, sms, mms senza la necessità di acquisire il preventivo consenso. Le norme previste dai restanti commi dell'articolo 130 erano invece certamente applicabili anche alle persone giuridiche.

Tirando le fila del discorso, l'assetto normativo precedente alla riforma del 2012 consentiva liberamente i contatti promozionali verso persone giuridiche effettuati con mezzi particolarmente invasivi (commi 1 e 2 dell'art. 130) subordinando, invece, le telefonate commerciali con operatore⁴  al preventivo riscontro con il Registro delle opposizioni⁵.
Questa soluzione appariva di sicuro poco sensata in quanto, nonostante il telemarketing effettuato per il tramite di un operatore rivesta indubbiamente carattere meno afflittivo per l'interessato rispetto ai contatti che si avvalgono di modalità automatizzate (quali chiamate preregistrate, fax, sms, mms, messaggi di posta elettronica etc.) i primi potevano essere "respinti", mentre i secondi no.
L'intervento del legislatore con il d.lgs. 69/2012, eliminando il termine "interessato" dall'art. 130 del Codice Privacy e sostituendolo con quello di "contraente o utente", ha reso pertanto applicabili le previsioni più tutelanti dei commi 1 e 2 anche alle persone giuridiche.

Le modifiche volute dal legislatore costituiscono certamente una conferma del fatto che le persone giuridiche devono senz'altro essere annoverate, al pari di quelle fisiche, tra i soggetti destinatari delle previsioni di cui al titolo X, capo 1 del Codice Privacy, ma resta fermo il fatto che tale interpretazione non è però sufficiente a colmare le incongruenze che attualmente si individuano nel testo del Codice: un esempio eclatante è dato dall'art. 141 il quale, disciplinando le forme di tutela dinanzi al Garante per i casi di comunicazioni indesiderate, consente agli "interessati" (e, quindi, solo alle persone fisiche) di proporre un "reclamo, segnalazione o ricorso" verso le comunicazioni indesiderate, escludendo tale rimedio di carattere amministrativo in capo alle persone giuridiche.

Un altro serio problema si pone per il caso in cui i dati delle persone giuridiche, enti o associazioni da utilizzare per finalità commerciali, anziché dagli elenchi telefonici⁶, siano invece reperiti altrove (ad esempio tratti da siti internet o da albi, atti o documenti pubblici etc.). In questi casi, non essendo possibile riferirsi alla disciplina generale - in quanto gli articoli 23 e 24 del Codice Privacy fanno riferimento ai soli interessati - il trattamento dei dati che costituisce presupposto dei contatti promozionali, se effettuato nei confronti di persone giuridiche, enti o associazioni, non risulta più soggetto agli obblighi di preventivo rilascio dell'informativa ed acquisizione del consenso.

Tutto quanto detto, il Garante ritiene che le problematiche evidenziate rendano opportuna un'ulteriore valutazione da parte del Parlamento e del Governo tesa alla verifica dei presupposti per l'adozione degli eventuali provvedimenti di competenza.
Dal tenore di queste ultime modifiche legislative e dalle preoccupazioni manifestate più volte dall'Autorità Garante emerge un impianto normativo complesso e di non agevole lettura dal quale deriva anche una riduzione di garanzie per le imprese. Dal 6 dicembre 2011, infatti, non solo le persone giuridiche, gli enti e le associazioni non sono più legittimati a proporre segnalazioni, reclami e ricorsi dinanzi all'Autorità Garante (potendo avvalersi solo degli ordinari strumenti di tutela apprestati dall'ordinamento), ma si va diffondendo l'erronea opinione che le imprese non debbano nemmeno preoccuparsi degli adempimenti in ambito privacy, comprese le misure di sicurezza. Credere in queste interpretazioni un po' talebane della normativa, cavalcando l'onda dell'entusiasmo dovuta alla liberazione dagli obblighi formali che hanno attanagliato i titolari del trattamento in questi ultimi anni, rischia di esporre a seri pericoli i dati e le informazioni delle imprese. In termini di sicurezza all'interno delle organizzazioni pubbliche e private, infatti, è stato fatto molto in questi ultimi anni e non solo per affermare in maniera semplicistica di essere stati conformi a quanto la normativa richiedeva, ma soprattutto perché si è presa consapevolezza dell'importanza di tutelare il dato come informazione primaria e necessaria per ottimizzare i processi aziendali.

Spesso, poi, questi continui interventi di modifica al Codice Privacy, operati in maniera non organica e contraddittoria (rispetto a quanto sta invece accadendo in ambito comunitario e internazionale), espongono i titolari del trattamento e, soprattutto, i responsabili a difficoltà applicative e dubbi interpretativi tali da vanificare le stesse finalità di alcune semplificazioni che potremmo considerare anche utili. Per fortuna questo scenario è destinato a cambiare a breve (forse definitivamente questa volta) grazie alla prossima emanazione di un Regolamento comunicatorio c.d. self executing, che uniformerà la materia introducendo nuovi adempimenti e misure di sicurezza che non potranno non portare a un ripensamento globale della privacy.

1 Art. 121 del d.lgs. 196/2003: Le disposizioni del presente titolo si applicano al trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazioni comprese quelle che supportano i dispositivi di raccolta dei dati e di identificazione.

2 La parola "contraente" è stata introdotta con il d.lgs. n. 69/2012 ed ha sostituito il termine "abbonato", che era utilizzato in precedenza.

3 Ma prima dell'approvazione del d.lgs. 69/12.

4 Il Garante specifica che, de iure condendo, tale regola dovrebbe essere considerata anche per l'invio di comunicazioni pubblicitarie cartacee.

5 In sostanza tale controllo è volto a verificare l'iscrizione nel registro e solo in caso di esito negativo il soggetto sarà contattabile con gli ultimi mezzi presentati.

6 Fattispecie tutelata all'art. 130, commi 3-bis ss. del Codice.

 

Tag: comunicazioni elettroniche, persone giuridiche, Garante privacy, provvedimento n. 262 del 20 settembre 2012, Codice Privacy, dato personale, contraente, interessato, telemarketing,self executing