Privacy. La tutela dei dati personali dopo il

di Giorgio Resta - Libro dell'anno del Diritto 2012

Privacy. La tutela dei dati personali dopo il «decreto sviluppo»

Giorgio Resta

Privacy
La tutela dei dati personali dopo il «decreto sviluppo»

Il cd. decreto sviluppo ha apportato rilevanti modifiche al codice della privacy e più in generale al sistema della protezione dei dati personali. In particolare, gli interventi di riforma appaiono volti a ridurre gli oneri economici ed organizzativi derivanti dall’applicazione della disciplina del trattamento dei dati personali. In questo lavoro si rifletterà sul contenuto e le implicazioni di tali innovazioni, focalizzando soprattutto l’attenzione sulla questione della tutela dei dati delle persone giuridiche e degli enti organizzati.

La ricognizione. La genesi della nuova disciplina e i suoi rapporti con l’assetto normativo preesistente

Il d.l. 13.5.2011, n. 70, convertito, con modificazioni, dalla legge 12.7.2011, n. 106, prevede diverse norme rilevanti ai fini del regime della tutela dei dati personali. Alcune di queste disposizioni, in primo luogo l’art. 6, co. 2, lett. a), modificano direttamente il codice della privacy (d.lgs. 30.6.2003, n. 196), la struttura normativa di base sulla quale si regge – affiancata dal corpo sempre più rilevante ed articolato della giurisprudenza del Garante, dei tribunali ordinari ed amministrativi, nonché della Corte europea dei diritti l’uomo – la disciplina italiana della protezione dei dati personali1. Altre intervengono su questioni non direttamente regolate dal codice e, pur non innovando direttamente tale documento normativo, hanno riflessi significativi su diverse ipotesi di trattamento dei dati personali. A l fine di chiarire meglio contenuti ed effetti dei suddetti interventi di riforma, è opportuno ricordare che il d.l. 70/2011, intitolato Prime disposizioni urgenti per l’economia e generalmente noto come «decreto sviluppo», rappresenta un testo normativo che trae origine da una congiuntura internazionale alquanto eccezionale per la sua criticità ed è largamente preordinato al perseguimento di una funzione socioeconomica ben precisa: la promozione dello sviluppo economico e della competitività del sistema-Paese, in un quadro di stabilità finanziaria e riallineamento virtuoso del bilancio pubblico. Da tale funzione discendono pregi e limiti del provvedimento in oggetto, che, se da un lato si preoccupa di ‘semplificare’ e ‘abbattere i costi d’impresa’, come generalmente auspicato anche dalle istituzioni europee2, dall’altro non sempre realizza un equilibrio appropriato tra il sostegno all’attività economica e le esigenze di tutela dei diritti.

1.1 I principali contenuti della riforma

L’art . 6 del d.l. n. 70, elenca talune misure le quali sono finalizzate a «ridurre gli oneri derivanti dalla normativa vigente e gravanti in particolare sulle piccole e medie imprese». Tra queste assumono un particolare rilievo quelle – puntualmente disciplinate al comma 2, lettere da a) ad f) – concernenti la materia del trattamento dei dati personali.

Non può stupire che una siffatta materia, pur essendo tangente al nucleo duro dei diritti fondamentali, venga esplicitamente affrontata in un’ottica di «costo economico». Non soltanto, infatti, la teoria politica ha da tempo richiamato l’attenzione sul fatto che i diritti – tutti i diritti, non soltanto i diritti sociali, ma anche le libertà negative – «costano» e la loro tutela rappresenta un prezzo che qualsiasi democrazia costituzionale deve essere disposta a pagare3. Più nello specifico, ciò che viene qui in questione è il «costo della privacy» per l’attività d’impresa (ed indirettamente per le finanze pubbliche). Se si considera che, nell’economia post-fordista, l’impresa si connota non soltanto come un «nodo d’una catena globale di creazione del valore che ne comprende molte altre»4, ma anche, e di riflesso, come un «naturale crocevia di flussi informativi»5, che pongono in correlazione la miriade di soggetti (committenti, dipendenti, collaboratori esterni, fornitori, clienti, ecc.), i quali entrano quotidianamente in contatto con essa, lasciando «tracce elettroniche» sempre più copiose e puntuali è agevole rendersi di conto di quale sia l’impatto – in termini di tempi e costi – degli adempimenti imposti dalla disciplina dei dati personali. Una disciplina che, nello specifico caso italiano, ha la particolarità di non limitare la tutela alle persone fisiche, come molte altre normative straniere, ma comprende nel proprio ambito d’applicazione anche le persone giuridiche e gli enti organizzati6.

Tale estensione, non imposta, ma neanche impedita dalla direttiva 95/46/CE (cfr. il considerando 24)7, ha una propria ratio giuridica ed economica e si inscrive con coerenza all’interno di un processo di lungo periodo, osservabile negli ordinamenti di civil law, volto a trasporre alle soggettività meta-individuali – nei limiti della compatibilità – i diritti della personalità delle persone fisiche8. Essa, tuttavia, sembrerebbe fonte di un maggiore aggravio, in termini di oneri burocratici e finanziari, soprattutto per i soggetti che più frequentemente «trattano» dati personali e sono fisiologicamente indotti – secondo una razionalità di stampo weberiano – a iscrivere il rispetto delle regole tra le poste passive del bilancio: gli imprenditori. A dire il vero non tutti gli studi pubblicati confermano l’esistenza di un impatto economico così distorsivo della normativa in tema di privacy, quanto meno non nell’ordine di grandezza espresso dai diretti interessati9. Sta di fatto, comunque, che, negli ultimi anni, le rispettive associazioni di categoria abbiano più volte manifestato l’auspicio di una complessiva riforma del sistema di tutela dei dati personali, volta ad assottigliare gli adempimenti gravanti in capo al «titolare» del trattamento e a ridurre le tutele riconosciute ai soggetti «interessati». Da una disamina anche superficiale del decreto-sviluppo si evince immediatamente che le misure ivi previste – come pure rileva la circolare di Confindustria n. 19439 del 18.7.2011 – «accolgono integralmente le proposte di semplificazione presentate da Confindustria negli ultimi anni»10.

È importante notare che le suddette modifiche non si limitano ai rapporti cd. business to business. Esse invece hanno portata più ampia e si articolano in due categorie principali:

a) quelle che determinano una restrizione dell’ambito di applicazione del codice nei rapporti tra imprese e, più in generale tra le soggettività meta-individuali;

b) quelle che riducono tout court adempimenti e tutele, indipendentemente dalle caratteristiche soggettive dell’«interessato» al trattamento.

La focalizzazione

La prima categoria è esaurita dalla modifica dell’art. 5 del Codice della protezione dei dati personali, concernente il trattamento dei dati delle persone giuridiche e di altri enti organizzati. Poiché essa altera sensibilmente l’impianto generale del codice e pone molteplici questioni esegetiche e ricostruttive, essa costituirà oggetto di una più approfondita valutazione nella sezione terza del presente scritto. Quanto alla seconda categoria, essa è composta da due distinte tipologie di interventi. In primo luogo, devono essere annoverate le modifiche che si traducono in una novella al codice. Esse attengono, specificamente: a) al regime dei curricula spontaneamente trasmessi; b) alle cd. comunicazioni infragruppo; c) al documento programmatico sulla sicurezza; d) al cd. marketing postale. In secondo luogo, vi sono le innovazioni alla normativa sui dati personali realizzate mediante interventi esterni al c. privacy. Tra queste si segnala, in particolare, la modifica della disciplina relativa alla segnalazione di ritardo sui pagamenti.

2.1 Il trattamento dei dati relativi a persone giuridiche (Rinvio)

In nanzitutto, come si è anticipato, l’art. 6, co. 2, lett. a), n. 1, del d.l. 70/2011 aggiunge all’art. 5 del codice un comma 3 bis, secondo cui: «Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo contabili, come definite all’articolo 34, comma 1 ter, non è soggetto all’applicazione del presente codice». Significato ed implicazioni di tale previsione verranno discussi infra, § 3.

2.2 Il nuovo regime dei curricula spontaneamente trasmessi

In secondo luogo, l’art. 6, co. 2, lett. a), n. 2 del decreto legge innova la disciplina della tutela dei dati personali nella fase prodromica all’instaurazione di un rapporto di lavoro, novellando l’art. 13 del c. privacy11. Esso stabilisce, in particolare, che l’informativa contemplata dall’art. 13, co. 1, del codice «non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro». L’obbligo di rendere l’informativa non è, però, completamente eliminato. La disposizione in oggetto prevede, infatti, che, al momento del primo «contatto successivo all’invio del curriculum», il titolare del trattamento sia tenuto a fornire all’interessato, anche oralmente, un’informativa breve, contenente almeno gli elementi di cui all’art. 13, co. 1, lett. a), d) ed f) del codice. Tale disciplina si applica unicamente ai curricula spontaneamente inviati dagli interessati, dunque non sollecitati in alcun modo dalla controparte. La suddetta semplificazione investe anche il profilo del consenso. L’art. 6, co. 2, lett. a) nn. 3 e 4 del d.l. 70/2011, innovando il testo degli artt. 23 e 24 del codice, stabilisce, a favore del titolare del trattamento, l’esonero dall’obbligo di ottenere il consenso ‘ordinario’, relativamente ai dati comuni contenuti nei curricula spontaneamente trasmessi, nonché del consenso scritto e dell’autorizzazione del Garante, per quanto attiene ai dati sensibili.

2.3 Le cd. comunicazioni infragruppo

In terzo luogo, l’art. 6, co. 2, lett. a), n. 3 del d.l. n. 70/2011 elimina la necessità di ottenere il consenso dell’interessato in ordine alla comunicazione di dati personali (relativi a persone fisiche o giuridiche), la quale: i) avvenga fra «società, enti o associazioni» con «società controllanti, controllate o collegate ai sensi dell’articolo 2359 del codice civile ovvero con società sottoposte a comune controllo». oppure fra «consorzi, reti di imprese e raggruppamenti e associazioni temporanee di imprese con i soggetti ad essi aderenti »; ii) sia in ogni caso effettuata per «finalità amministrativo contabili» (come definite dal nuovo comma 1-ter dell’art. 34 del codice: cfr. infra, § 3.), purché queste finalità siano previste espressamente con determinazione resa nota agli interessati all’atto dell’informativa. L’art. 6 del decreto legge prevede, dunque, l’esclusione dell’obbligo di richiedere il consenso – mentre rimangono inalterati gli altri requisiti di legge dell’informativa, delle misure di sicurezza, ecc. – nell’ipotesi delle cd. comunicazioni infra-gruppo, ossia circolazione di informazioni effettuata sulla base di rapporti di controllo e di collegamento tra le società e nel quadro delle altre forme di organizzazione plurilaterale delle attività economiche (quali consorzi, art. 2602 c.c.; reti di imprese, l. n. 33/2009, art. 3, co. 4 ter; raggruppamenti e associazioni temporanee di imprese, d.lgs. n. 163/2006). Se la norma persegue un’evidente finalità di semplificazione organizzativa e riduzione degli oneri, il suo drafting si rivela alquanto imperfetto: è d’immediata evidenza, infatti, che rapporti di controllo o collegamento, ai sensi dell’art. 2359 c.c., possono predicarsi in relazione a soggetti costituiti in forma societaria, non già, però, in relazione agli «enti o associazioni» del primo libro del codice. Si può dubitare, dunque, che la disciplina di favore operi a vantaggio di tali soggetti, anche se un’interpretazione estensiva potrebbe ritenersi maggiormente in linea con gli obbiettivi generali del provvedimento (specie se si consideri l’ipotesi degli enti non profit svolgenti attività d’impresa). Si noti, inoltre, che l’esclusione non sembrerebbe operare riguardo alle comunicazioni infragruppo che implichino un trasferimento dei dati verso Paesi terzi.

2.4 Il ‘nuovo’ documento programmatico sulla sicurezza

In quarto luogo, l’art. 6, co. 2, lett. a), n. 5, del d.l. n. 70/2011, innovando il comma 1 bis dell’art. 34 del c. privacy, estende la possibilità di sostituzione del documento programmatico sulla sicurezza con l’autocertificazione, a vantaggio dei soggetti che trattano con strumenti elettronici esclusivamente dati personali non sensibili e, quali unici dati sensibili e giudiziari, quelli relativi ai propri dipendenti e collaboratori (si precisa, con formula non necessaria, né opportuna: «anche se extracomunitari»), ovvero al coniuge e ai loro parenti. Per quanto attiene al contenuto dell’autocertificazione, alla luce dell’intervento di riforma, esso non concerne più genericamente «le altre misure minime di sicurezza prescritte», ma le sole misure minime, prescritte dall’art. 34 del codice e dal disciplinare tecnico dell’Allegato B).

2.5 Il cd. marketing postale

Infine, il d.l. n. 70/2011 interviene sull’art. 130 del codice, modificandone il comma 3 bis (a sua volta introdotto dall’articolo 20 bis, d.l. 25.9.2009, n. 135, nel testo integrato dalla relativa legge di conversione). Per effetto di tale novella, che soddisfa esclusivamente le esigenze delle imprese senza tenere nella dovuta considerazione l’interesse «alla tranquillità individuale»12, la disciplina prevista in materia di trattamento di dati per finalità di invio di materiale pubblicitario, vendita diretta, per il compimento di ricerche di mercato o di comunicazione commerciale viene estesa dall’ipotesi del telefono a quello della posta cartacea. In particolare, il meccanismo di opt out, originariamente previsto per le comunicazioni telefoniche, risulta ora applicabi - le anche al cd. marketing postale. Ciò significa, concretamente, che sarà possibile utilizzare gli indirizzi contenuti negli elenchi telefonici pubblici per effettuare, mediante comunicazioni cartacee, attività promozionali, salvo che il destinatario abbia esercitato il proprio diritto di opposizione, iscrivendosi nell’apposito registro pubblico (clausola di salvaguardia che, al momento, rimane soltanto in the books, dal momento che il d.P.R. 7.9.2010, n. 178, istitutivo del registro pubblico delle opposizioni, non è stato ancora modificato ed ha pertanto un’efficacia limitata al settore del telemarketing). Inoltre, mette conto notare che l’art. 6, co. 2, lett. a bis) del d.l. n. 70/2011, aggiunto dalla legge di conversione 12.7.2011, n. 106, ha modificato l’art. 67 sexies decies del codice del consumo al fine di coordinare la disciplina delle comunicazioni indesiderate nei contratti a distanza con quella prevista dal c. privacy. La nuova norma prevede che il regime di opt-out, di cui al comma 3 bis dell’art. 130 del codice, sia applicabile anche al trattamento dei dati contenuti negli elenchi di abbonati utilizzati per attività di marketing, attraverso tecniche di comunicazione a distanza.

2.6 Le segnalazioni sui ritardi dei pagamenti

Come si è accennato in precedenza, alcune delle modifiche previste dal d.l. n. 70/2011 non innovano direttamente il codice della privacy, ma si traducono in interventi esterni a tale documento, i quali hanno comunque riflessi significativi sul regime del trattamento dei dati personali. Di tali previsioni, una delle più rilevanti è senza dubbio l’art. 8 bis del decreto legge, come modificato dal d.l. 13.8.2011, n. 138, convertito con modificazioni in legge dalla l. 14.9.2011, n. 148. Essa concerne la fattispecie della segnalazione dei ritardi sui pagamenti. L’art. 8 bis. nella sua versione originaria, prevedeva che, in caso di regolarizzazione del pagamento, le segnalazioni relative a ritardi di pagamenti da parte delle persone fisiche o giuridiche «già inserite nelle banche dati» dovessero essere cancellate entro cinque giorni lavorativi dalla comunicazione da parte dell’istituto di credito ricevente il pagamento. La manovra estiva (d.l. 13.8.2011, n. 138) ha nuovamente modificato tale disciplina, eliminando la necessità della cancellazione e stabilendo semplicemente che, nei dieci giorni dall’adempimento, le segnalazioni sui ritardi dei pagamenti siano integrate dalla comunicazione dell’avvenuto pagamento. Le banche – in luogo dell’obbligo, prima previsto di richiedere entro sette giorni l’estinzione della segnalazione – sono ora tenute a richiedere la suddetta integrazione «immediatamente dopo» il pagamento (comma 1). Inoltre, ai sensi del comma 2, le segnalazioni già registrate e regolarizzate dovranno essere aggiornate secondo le modalità descritte, se relative al mancato pagamento di un numero di rate mensili inferiore a sei o di un’unica rata semestrale (comma 2). Le nuove norme sono suscettibili di avere un notevole impatto operativo, come pure si desume dall’ampiezza della nozione di «banche dati», all’interno della quale sembrerebbero dover logicamente rientrare anche quei particolari archivi informativi costituiti dai sistemi di informazione creditizia (cd. SIC)13.

I profili problematici. La tutela dei dati delle persone giuridiche

Ciascuna delle modifiche sin qui discusse presenta profili problematici e suscita questioni esegetiche di non trascurabile rilievo. Nessuna, però, appare in grado di alterare l’impianto normativo preesistente in una maniera tanto profonda, come quella relativa alla tutela dei dati delle persone giuridiche ed altri enti organizzati. Su di essa, pertanto, è opportuno soffermarsi con maggiore attenzione. Si è già ricordato in precedenza che l’art. 6, co. 1, lett. a), del d.l. n. 70/2011, nel fissare le ‘linee-guida’ dei successivi interventi di riforma, stabilisce che: «in corretta applicazione della normativa europea le comunicazioni relative alla riservatezza dei dati personali sono limitate alla tutela dei cittadini, conseguentemente non trovano applicazione nei rapporti tra imprese». Tale enunciato non è di agevole lettura e presenta il paradosso che, a volergli attribuire un senso giuridicamente compiuto, se ne deve negare l’efficacia immediatamente precettiva. Difatti, a ritenere altrimenti, si dovrebbero accettare le seguenti, e palesemente illogiche, conclusioni. Innanzitutto, nel presupposto che gli artt. 1 e 4 del Codice annoverano tra i soggetti «tutelati» le persone fisiche e le persone giuridiche, ci troveremmo in presenza di una disposizione che restringe radicalmente l’ambito di applicazione del Codice, senza innovarne formalmente il dettato normativo. In secondo luogo, anche a voler ritenere plausibile una siffatta ipotesi, si dovrebbe accettare che «in corretta applicazione della normativa europea» le suddette «comunicazioni relative alla riservatezza dei dati» siano limitate alla tutela dei «cittadini»: il che sarebbe palesemente contraddittorio, dal momento che proprio la citata «normativa europea» attribuisce alla protezione dei dati personali il rango di diritto fondamentale, non limitabile in quanto tale alla sola categoria dei «cittadini» (cfr. l’art. 8 della Carta dei diritti fondamentali dell’Unione Europea; nonché l’art. 1, co. 1, della direttiva 95/46/CE)14. Altro, allora, è il significato della previsione in oggetto, la quale deve essere intesa come un mero preambolo, privo di efficacia precettiva e dal mero valore enunciativo di un indirizzo di politica legislativa, destinato a trovare specifica attuazione nella normativa di dettaglio15. Di tale normativa di dettaglio, la regola più significativa è forse quella contenuta nell’art. 6, co. 2, lett. a), n.1, del d.l. n. 70/2011. Tale articolo, come si è già accennato, modifica l’art. 5 del c. privacy, aggiungendovi un nuovo comma 3 bis. La norma è di portata generale e, per questo, è inserita tra i principi generali del codice. Essa esclude dall’applicazione della suddetta normativa (e quindi sottrae alle garanzie ivi previste) il «trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni». Si potrebbe discutere, innanzitutto, dell’opportunità del riferimento all’«impresa», categoria che nel sistema civilistico è generalmente impiegata per far discendere l’applicazione di una determinata disciplina dallo svolgimento di un’attività economica (art. 2082 c.c.), in funzione connotativa di una soggettività giuridica. com’è per le «persone giuridiche», gli «enti» o le «associazioni». Nel merito, è rilevante sottolineare che la suddetta esclusione non ha carattere generale, ma è subordinata al fatto che i dati personali siano relativi a «persone giuridiche, imprese, enti o associazioni», si tratti di «rapporti intercorrenti esclusivamente tra i medesimi soggetti» e il trattamento persegua «finalità amministrativo contabili». Gli enunciati in oggetto non sono privi di ambiguità e pongono una serie di problemi esegetici alquanto rilevanti – dalla nozione di «enti» (sono ricomprese le pubbliche amministrazioni?) a quella di «rapporti» (si tratta di rapporti negoziali, o di qualsiasi relazione intersoggettiva? Il rapporto deve essere in atto o è sufficiente che esso sia storicamente intercorso?) – sui quali il Garante e la magistratura saranno chiamati a far chiarezza. Per i fini che qui rilevano, sarà sufficientemente limitarsi ad osservare quanto segue. Innanzitutto si può affermare che l’esclusione in discorso non opera se il trattamento ha ad oggetto informazioni relative a persone fisiche, ad eccezione forse dell’ipotesi in cui esse siano considerate nella loro qualità di organo della persona giuridica o gruppo organizzato. Particolarmente opinabile è il caso dell’imprenditore persona fisica: se oggetto del trattamento è, ad esempio, il nome, coincidente con la ditta, siamo in presenza di dati dell’«impresa» (in quanto tali sottratti all’applicazione del codice) o dell’«individuo»? La risposta dovrà essere cercata, verosimilmente, in un’analisi di tipo funzionale ed attenta a tutti i dati di contesto. Essa non opera, del pari, se il trattamento trascende i rapporti intercorrenti fra «persone giuridiche, imprese, enti o associazioni». Può farsi il caso, ad esempio, dei rapporti interni all’ente medesimo, o, più in generale, delle relazioni tra una persona giuridica e una persona fisica. Alla luce di tali restrizioni, deve pertanto essere ribadita la persistente applicabilità delle norme del Codice ai rapporti tra imprese, enti, associazioni da un lato e persone fisiche dall’altro, sia nell’ipotesi in cui i primi soggetti trattino i dati della persona fisica all’interno delle proprie strutture (si pensi ai dati dei dipendenti), ovvero all’esterno (ad es. i clienti o i creditori dell’ente), sia nel caso in cui la persona fisica tratti i dati d’impresa in qualità di titolare (ad es. per fini di consulenza). In fine, l’esclusione non opera se il trattamento persegue finalità diverse da quelle «amministrativo-contabili», come definite dal comma 1 ter dell’articolo 34 del codice16. Tale norma è redatta in maniera tale da ricomprendere nel suo ambito d’applicazione un’amplissima schiera d’attività. Da un lato, infatti, si definiscono come trattamenti effettuati per «finalità» amministrativo-contabili quelli «connessi» allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile; dall’altro, però, nella seconda parte della disposizione, la suddetta finalità sembra essere riconosciuta ipso iure ad un’ampia tipologia di «attività» («attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro»), le quali, di per sé, non sono funzionali (o, quanto meno, non sono soltanto funzionali) ai correnti adempimenti amministrativi e contabili di un’impresa. Esse attengono, invece, ai servizi stessi resi dall’azienda o ad adempimenti e obblighi previsti dalla legge e, in quanto tali, non dovrebbero rientrare nell’ambito applicativo della norma e quindi, dell’«esenzione» dall’applicazione della normativa in materia di protezione dei dati personali (si pensi all’attività precontrattuale o contrattuale, all’applicazione delle norme sindacali o sulla sicurezza del lavoro). Al contrario, sono le attività amministrativo- contabili a potere, in talune ipotesi, essere funzionali alle altre attività, anche organizzative, svolte dall’impresa o dall’ente per il perseguimento delle proprie finalità istituzionali. La definizione – già di per sé eccessivamente ampia – abbraccia una serie potenzialmente indefinita di casi, dal momento che l’elencazione delle attività cui sono connessi i trattamenti ‘esentati’ è meramente esemplificativa. Tuttavia, sembra possibile escludere dalla suddetta definizione almeno i trattamenti di dati correlati alle seguenti attività, particolarmente rilevanti per le dinamiche aziendali17: a) attivazione di sistemi di video- e tele-sorveglianza (i quali hanno comunque generalmente ad oggetto dati di persone fisiche); b) trattamento finalizzato a scopi di comunicazione o promozione commerciale; c) valutazione della solvibilità economica o delle condizioni patrimoniali di terzi; d) sondaggi e ricerche di mercato. Si deve evidenziare, infine, che la norma di deroga di cui al citato art. 5, co. 3 bis del codice comporta anche l’impossibilità di esercitare i diritti di cui agli articoli 7 ss. del codice medesimo nei rapporti intercorrenti tra persone giuridiche, imprese, enti o associazioni e limitatamente ai trattamenti effettuati per le sole finalità amministrativo-contabili. Questa limitazione non è stata, forse, sufficientemente meditata dal legislatore, il quale, preoccupato soltanto del profilo della riduzione dei costi, non ha considerato che le persone giuridiche ed altri gruppi organizzati (si pensi soltanto ai partiti politici o ai sindacati) possono avere un rilevante interesse ad esercitare il diritto d’accesso e domandare la rettifica, l’integrazione o la cancellazione di dati inesatti o trattati in maniera contraria a correttezza, oltre che ad avvalersi del regime aggravato di responsabilità civile nell’ipotesi di danni arrecati dall’attività di trattamento18.

Note

1 Si veda in proposito Rodotà, Tra diritti fondamentali ed elasticità della normativa: il nuovo Codice sulla privacy, in Europa e dir. priv., 2004, 1 ss.; per le fonti europee cfr. Macario, La protezione dei dati personali nel diritto privato europeo, in Cuffaro-Ricciuto, La disciplina del trattamento dei dati personali, Torino, 1997, 5 ss.

2 Cfr. le seguenti Comunicazioni della Commissione: COM (2011) 78, Riesame dello «Small Business Act» per l’Europa; COM(2010) 543, Legiferare con intelligenza nell’UE; COM (2009) 544, Programma d’azione per la riduzione degli oneri amministrativi nell’UE.

3 V. in generale Holmes-Sunstein, Il costo dei diritti. Perché la libertà dipende dalle tasse, Bologna, 2000, passim.

4 Gallino, Il lavoro non è una merce. Contro la flessibilità, Roma-Bari, 2007, 27.

5 Mantelero, Il costo della privacy tra valore della persona e ragione d’impresa, Milano, 2007, 88.

6 Cfr. Fici-Resta, La tutela dei dati degli enti collettivi: aspetti problematici, in Pardolesi, a cura di, Diritto alla riservatezza e circolazione dei dati personali, II, Milano, 2003, 375.

7 È pertanto mistificante affermare, come fa la Relazione illustrativa del 13 maggio 2011, d.d.l. n. 4357 AC, che l’intervento di riforma riduce gli adempimenti «connessi a una non corretta trasposizione della normativa dell’Unione Europea».

8 Per una visione d’insieme delle rationes sistematiche sottese al riconoscimento dei diritti della personalità delle persone giuridiche, cfr. Zoppini, I diritti della personalità delle persone giuridiche (e dei gruppi organizzati), in Riv. dir. civ., 2002, I, 851 ss.; per ulteriori riferimenti comparatistici, cfr. Dumoulin, Les droits de la personnalité des personnes morales, in Rev. sociétés, 2006, 1.

9 Cfr. in proposito l’attenta indagine empirica di Mantelero, Il costo della privacy tra valore della persona e ragione d’impresa, cit., 203-315, nonché gli ulteriori studi ivi citati.

10 Confindustria, circolare 18.7.2011, n. 19439, Privacy. Le novità del Decreto Sviluppo, 2.

11 Per una disamina dell’assetto normativo e giurisprudenziale previgente v. Mantelero, Il costo della privacy tra valore della persona e ragione d’impresa, cit., 105 ss.

12 Cfr. Atelli, Il diritto alla tranquillità individuale. Dalla rete Internet al ‘door to door’, Napoli, 2001.

13 In proposito esiste, com’è noto, un apposito codice di deontologia, approvato dal Garante per la protezione dei dati con provv. del 16.11.2004, n. 8.

14 Circa il rango di diritto fondamentale del diritto alla protezione dei dati personali v. Resta, Il diritto alla protezione dei dati personali, in Cardarelli-Sica-Zeno Zencovich, Il codice dei dati personali. Temi e problemi, Milano, 2004, 11, 31 ss.

15 Cfr., in tal senso, il parere sul d.d.l. A.C. 4357, espresso dal Comitato per la legislazione della Camera dei deputati in data 25.5.2011.

16 In proposito cfr. già il provvedimento del Garante, 19 giugno 2008, Semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrative e contabili.

17 Per un panorama particolarmente approfondito v. Mantelero, Il costo della privacy tra valore della persona e ragione d’impresa, cit., 160 ss.

18 Per una più ampia trattazione di questi profili v. Fici-Resta, La tutela dei dati degli enti collettivi: aspetti problematici, cit., 405 ss.

Vedi anche
deputato Membro della Camera dei deputati. In Italia è eleggibile a deputato ogni elettore che, nel giorno delle elezioni, abbia compiuto i 25 anni di età, salvi i casi di ineleggibilità e incompatibilità. Il termine è usato anche per indicare i membri del Parlamento europeo (cioè dell’assemblea della Comunità ... azienda economia L’azienda può essere definita come un’organizzazione di persone e beni economici ovvero, con accento dinamico, come un sistema di forze economiche, che sviluppa nell’ambiente con cui interagisce processi di produzione e/o di consumo, a favore dei soggetti economici che vi cooperano.  ● Il concetto ... pubblicità Divulgazione, diffusione tra il pubblico. In particolare, l’insieme di tutti i mezzi e modi usati allo scopo di segnalare l’esistenza e far conoscere le caratteristiche di prodotti, servizi, prestazioni di vario genere predisponendo i messaggi ritenuti più idonei per il tipo di mercato verso cui sono ... giurisprudenza In senso ampio, la conoscenza e la scienza del diritto, con riferimento originario al diritto romano, esteso poi anche al mondo moderno. In senso più ristretto e tecnico, l’insieme delle sentenze e delle decisioni attraverso cui gli organi giudicanti di uno Stato interpretano le leggi applicandole ai ...
Indice
Categorie
Vocabolario
privacy
privacy 〈prìvësi o, spec. nella pron. angloamer., pràivësi〉 s. ingl. [der. di priva(te) «privato»], usato in ital. al femm. – La vita personale, privata, dell’individuo o della famiglia, in quanto costituisce un diritto e va perciò rispettata...
tutèla
tutela tutèla s. f. [dal lat. tutela, der. di tutus, part. pass. di tueri «difendere, proteggere»]. – 1. In diritto: a. Istituto giuridico per il quale una persona, nominata dal giudice tutelare, si assume la protezione e la rappresentanza...