In particolare, le modifiche introdotte mirano a ridurre gli oneri burocratici imposti alle imprese con riferimento al trattamento di dati personali. La normativa nazionale in materia, infatti, recependo la direttiva comunitaria di riferimento (Direttiva 95/46/CE), aveva esteso la portata della tutela – e degli adempimenti dei titolari del trattamento – oltre le previsioni della Direttiva stessa. Il Decreto Sviluppo, quindi, ha inteso riallineare la disciplina italiana a quella comunitaria.
La prima novità del Decreto Sviluppo riguarda l’introduzione del comma 3-bis dell’art. 5 del Codice, che prevede che “il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell'ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti (B2B) per le finalità amministrativo-contabili, come definite all'articolo 34, comma 1-ter, non è soggetto all'applicazione” del Codice.
In particolare, per i dati relativi a questa tipologia di rapporti, non è più necessario fornire l’informativa di trattamento dei dati personali (art. 13 del Codice), ottenere il consenso al trattamento (art. 23), nominare responsabili del trattamento (art. 29) e adottare le misure di sicurezza di cui agli artt. 33 e seguenti.
Un’altra novità, introdotta al fine di semplificare il trattamento di dati personali, è rappresentata dal nuovo comma i-ter dell’art. 24 del Codice, in forza del quale le comunicazioni dei dati personali non sensibili effettuate nell’ambito di gruppi o di forme organizzate di esercizio dell’attività di impresa non necessitano del consenso dell’interessato qualora il trattamento riguardi la comunicazione per finalità amministrativo-contabili.
La nuova disposizione si riferisce in particolare alla comunicazione dei dati tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell'articolo 2359 del Codice Civile ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti.
Il fine ultimo è quello di semplificare il trasferimento di dati tra imprese con un alto grado di interconnessione e di comunicazione, agevolando gli adempimenti connessi alla circolazione delle informazioni non sensibili.
Per beneficiare dell’esonero, quindi, è necessario che titolare del trattamento e destinatario della comunicazione siano società, imprese, enti o associazioni, mentre l’interessato potrà essere sia una persona fisica che una persona giuridica purché diversa dai soggetti tra i quali avviene la comunicazione: la nuova lettera i-ter dell’art. 24 ha, infatti, un ambito operativo autonomo rispetto l’ambito di applicazione di cui al citato art. 5, co. 3-bis. Tuttavia, per avvalersi dell’operatività di questa previsione è necessario che le finalità siano state espressamente comunicate all’interessato al momento dell’informativa ex art. 13 del Codice Privacy.
Un’ulteriore semplificazione è quella disposta dal nuovo comma 1-bis dell’art. 34 del Codice Privacy. Il nuovo comma ha esteso in via generalizzata l’ambito oggettivo di applicazione dell’autocertificazione sostitutiva del Documento Programmatico sulla Sicurezza (DPS) ai trattamenti con strumenti elettronici di qualsiasi tipologia di dati, comuni, sensibili e giudiziari, connessi alla gestione del rapporto di lavoro.
Possono avvalersi dell’autocertificazione i soggetti che trattano, come unici dati sensibili e giudiziari quelli relativi i propri dipendenti e collaboratori nonché quelli relativi ai coniugi e parenti di questi.
È importante evidenziare che, sebbene la norma faccia riferimento “all’obbligo di autocertificazione”, quest’ultima non ha sostituito il regime ordinario che continua a rimanere in vigore: l’autocertificazione è una modalità semplificata di adempimento alternativa al regime ordinario, ragion per cui la scelta è rimessa alla piena discrezionalità del titolare del trattamento.
La portata innovativa della norma è stata quella di superare il limite applicativo della precedente formulazione che, non contemplando il coniuge ed i parenti del lavoratore e limitando il ricorso a due sole categorie di dati sensibili - quelli riguardanti lo stato di salute o di malattia dei propri dipendenti o collaboratori, anche se extracomunitari, e quelli relativi all’adesione a organizzazioni sindacali – rendeva, secondo taluni, di fatto inapplicabile il beneficio dell’autocertificazione al fine dell’attestazione della corretta adozione delle procedure previste per il trattamento dei dati personali.
Per tali tipologie di dati, nonché per tutti i dai trattati per finalità amministrativo-contabili, la norma introduce, inoltre, la possibilità di applicazione di modalità semplificate in relazione alle misure minime di protezione per il trattamento di dati con mezzi elettronici.
Un aspetto comune alle tre novità introdotte dal Decreto Sviluppo è costituito dal concetto di “finalità amministrativo-contabili” a cui tutte fanno riferimento.
Il legislatore fornisce una definizione di tale concetto all’art. 34, comma 1-ter, del Codice Privacy. Ai sensi di questo articolo, possono essere definiti trattamenti con finalità amministrativo-contabili “quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all'adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all'applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro”.
Nonostante l’intenzione del legislatore di chiarire il concetto, non nuovo al settore in esame, permangono alcuni dubbi in proposito, in quanto la definizione e gli esempi addotti non riescono a delimitarne in modo netto i contorni.
La circolare n. 19439 del 18 luglio 2011 di Confindustria ha proposto una casistica più allargata, volta a chiarire, secondo il proprio punto di vista, cosa può essere qualificato come trattamento con finalità amministrativo-contabile. La posizione di Confindustria appare condivisibile, in quanto ricomprende nel concetto in esame il trattamento di tutti quei dati attinenti alla gestione e all’amministrazione dell’attività di impresa.
Nonostante possa apparire rischioso espandere in modo eccessivo questo concetto per timore di ledere la tutela della privacy di determinati soggetti (lavoratori in primis), una tale estensione appare conforme allo scopo perseguito dal legislatore del Decreto Sviluppo di ridurre gli oneri in materia di adempimenti burocratici. Infatti, in questo modo, viene permesso alle imprese, soprattutto di medie e piccole dimensioni, di ridurre i costi relativi al trattamento di dati funzionali all’ordinario esercizio delle proprie attività.
L’esclusione dall’applicazione del Codice Privacy dei rapporti tra imprese rappresenta un allineamento della normativa nazionale a quella comunitaria. Le imprese italiane, infatti, si trovavano a fronteggiare adempimenti burocratici più stringenti, con costi maggiori,  rispetto alle concorrenti estere, anche nella gestione di dati relativi ai normali rapporti commerciali, anche in assenza di un concreto pericolo di lesione di dati relativi a persone fisiche.
Il Decreto Sviluppo ha inoltre innovato la disciplina del trattamento dei dati personali per finalità di marketing.
L’art. 6, comma 2, lettera a), n. 6 del Decreto Sviluppo ha infatti modificato l’art. 130, comma 3-bis, del Codice Privacy - che ha introdotto nel nostro ordinamento il regime di opt-out per le chiamate telefoniche a fini commerciali (il c.d. telemarketing) – estendendo tale regime alle attività promozionali effettuate mediante l’impiego della posta cartacea.
La disciplina previgente – in base alle regole indicate dal Garante con il provvedimento sugli elenchi "alfabetici" (provvedimento del 15 luglio 2004) - prevedeva la necessità di acquisire preventivamente il consenso, specifico e informato (art. 13 Codice Privacy) degli interessati ai sensi degli artt. 23 e 130 del Codice.
In base alla nuova formulazione del comma 3-bis dell’art. 130, oggi, le imprese che intenderanno utilizzare gli indirizzi contenuti negli elenchi telefonici pubblici al fine di effettuare, mediante l’invio di materiale cartaceo, attività pubblicitarie e promozionali (art. 7, comma 4, lett. b) Codice Privacy) dovranno verificare che il destinatario della comunicazione non abbia manifestato il proprio dissenso iscrivendosi al Registro pubblico delle opposizioni.
Si ricorderà che, in conformità alle disposizioni del Decreto del Presidente della Repubblica n. 178/2010, entrato in vigore il 17 novembre 2010 - che ha reso operativo dal 31 gennaio 2011 il predetto Registro - gli Operatori che vorranno utilizzare gli indirizzi degli Abbonati presenti negli elenchi telefonici pubblici (il Registro è rivolto esclusivamente agli abbonati, persone fisiche o enti, il cui numero telefonico ed indirizzo sono presenti negli elenchi telefonici pubblici) per attività commerciali, promozionali o per il compimento di ricerche di mercato tramite l’invio di materiale promozionale o pubblicitario, sono tenuti, per non incorrere nelle sanzioni previste dal Codice della Privacy, a registrarsi al sistema gestito dalla Fondazione Ugo Bordoni - Gestore del servizio - e a comunicare la lista degli indirizzi che intendono contattare. Il Gestore quindi, mettendo a confronto le informazioni contenute nel Registro delle Opposizioni e la lista degli indirizzi fornita dall’Operatore, esclude da quest'ultimo tutti gli indirizzi degli abbonati che hanno richiesto di non voler ricevere comunicazioni, creando così una lista “filtrata” dal gestore.
L´azienda che si proponga di effettuare una campagna di marketing cartaceo, quindi, potrà estrarre gli indirizzi dei destinatari dagli elenchi telefonici, ma non potrà utilizzarli qualora gli abbonati risultino iscritti al registro delle opposizioni. E ciò sia quando la comunicazione debba essere indirizzata ad un privato, sia quando, invece, debba essere indirizzata ad un’altra impresa.
La modifica introdotta è riferita esclusivamente ai dati che si possono trarre dagli elenchi telefonici di abbonati: solo coloro che compaiono negli elenchi telefonici come intestatari di un’utenza, pertanto, qualora non vogliano ricevere comunicazioni promozionali, avranno l’onere di iscriversi nell’apposito registro.
Diverso discorso potrebbe farsi, invece, per coloro che sono iscritti in elenchi pubblici quali, ad esempio, ai professionisti iscritti agli albi, il cui recapito compare sia nell’albo che nell’elenco telefonico.
L´art. 130 comma 3 del Codice della Privacy consente che le comunicazioni commerciali effettuate con modalità diverse - quali chiamate telefoniche automatizzate, elettroniche, fax, sms, ecc. - quindi anche quelle effettuate per posta cartacea, possano prescindere dal consenso dell´interessato, se effettuate a norma dell´articolo 24 e nel rispetto dell´articolo 130 comma 3 bis D. Lgs. 196/2003. Quindi, pur potendosi prescindere dal consenso quando ci si trovi innanzi a dati tratti, ad esempio, ad albi, occorrerà rispettare le previsioni in ordine all´eventuale iscrizione al registro delle opposizioni.
Va segnalato che la norma in esame, per trovare concreta applicazione, richiederà l’emanazione di un regolamento che definisca con maggior precisione le modalità di consultazione del registro.
I problemi tecnici da affrontare non sono pochi dato il fatto che il registro delle opposizioni, ad oggi, è organizzato solo per contenere dei numeri di telefono e non anche indirizzi. Chiaramente questa impostazione dovrà cambiare. Se infatti il numero di telefono è un dato riferibile esclusivamente ad un abbonato senza possibilità di errori, altrettanto non può dirsi dell’indirizzo postale, che è riferibile a più soggetti e che richiede quindi di essere abbinato ad un soggetto determinato per poter essere gestito univocamente.