Sintesi dei contenuti del Meeting sulla privacy

Mercoledì scorso si è tenuta, come richiesto a gran voce sul forum, il Meeting ANVI-Confesercenti sul Decreto legislativo n.196 del 30 giugno 2003 - "Codice in materia di protezione dei dati personali".

Introdotto dal Presidente Nazionale Enrico Landini, presenti il Segretario, Roberto Pietrangeli, il Coordinatore Nazionale, Massimo Mazzaccheri ed i componenti della Giunta Nazionale dell'ANVI, Mauro Mazzantini e il sottoscritto, è intervenuto l'Avv. Giuseppe Dell'Aquila, Responsabile dell'Ufficio Legislativo della Confesercenti, che ha tenuto una chiara relazione sui punti chiave del Decreto ed ha risposto con competenza tecnica su svariati quesiti convenendo con i presenti che il testo non permette una sempre chiara ed univoca interpretazione.
Ecco alcune tra le tematiche che più di altre hanno determinato animate discussioni:

- obbligo di notificazione da espletare entro il 30 aprile 2004;
- predisposizione dell’informativa al cliente;
- valutazione sulla natura dei dati trattati dai nostri esercizi (se sensibili o meno);
- eventuale obbligo di redazione del Documento Programmatico sulla     Sicurezza (DPS);
- possibilità di conservare i dati personali dopo la scadenza della tessera;
- protezione dei dati sul distributore automatico;
- programmi software a disposizione per facilitare l'adeguamento;
- quesito da rivolgere al garante da parte di ANVI-Confesercenti.

Obbligo di notificazione
L'Avvocato ha fugato ogni dubbio in merito, chiarendo che tale adempimento può riguardare solo gli esercizi che utilizzino strumenti elettronici allo scopo di definire o valutare il profilo o la personalità dei clienti o analizzare le loro abitudini o scelte di consumo (profilazione dei clienti), con esclusione dei casi in cui il trattamento dei dati sia finalizzato al solo scopo di fornire all’interessato beni, prestazioni o servizi, con l’ausilio di strumenti elettronici la cui unica utilità è quella della migliore gestione del rapporto contrattuale e dei connessi adempimenti contabili e fiscali.

Informativa al cliente
E' stato sottolineato che, come già accadeva per la Legge 675/96, il cliente ha il diritto di conoscere finalità e modalità del trattamento che sarà eseguito sui suoi dati personali. Inoltre, è stato analizzato il caso della comunicazione dei dati a terzi: in generale, il cliente deve dare espressamente il proprio consenso alla comunicazione a terzi, i quali devono essere specificamente individuati; per gli aspetti relativi, ad esempio, alla manutenzione delle attrezzature, il titolare del trattamento dovrà indicare almeno la categoria di soggetti (riparatori, manutentori) che possono essere incaricati di eseguire interventi che presuppongono l’accesso ai dati. Naturalmente, per gli interventi di manutenzione, il manutentore rilascerà dichiarazione circa la conformità dell'eventuale trattamento alla disciplina sulla privacy.

Natura dei dati trattati (se sensibili o meno)
Questo è un dubbio al quale non è stato possibile rispondere a causa della non chiara formulazione del Decreto. Al quesito presentato al Garante per la protezione dei dati personali via e-mail, da uno dei presenti al meeting è seguita una risposta che non ha fugato il dubbio. Rimane da interpretare e quindi è direttamente legato all'opinione del magistrato in caso di contenzioso (peraltro è ancora inesistente la storia giuridica di questo decreto mancando sentenze ufficiali), se sia possibile risalire alle convinzioni politiche, religiose e alla “vita sessuale” conoscendo i titoli dei film visionati tramite una tessera (che nella maggior parte dei casi può essere utilizzata anche da soggetti autorizzati dal cliente ma potenzialmente sconosciuti al gestore).

Redigere o meno il Documento Programmatico sulla Sicurezza (DPS)
In stretta relazione al punto precedente, la redazione di questo documento è un altro argomento che ha portato a diverse considerazioni. Si è detto che redigere il DPS mette al riparo da eventuali accuse di "mancato adeguamento" delle misure minime di sicurezza, ma, d'altro canto, la redazione del DPS sarebbe un'ammissione implicita del trattamento di dati sensibili, il che costringerebbe alla gestione idonea dei dati trattati.
Analizzando il caso della mancata redazione del DPS, si è rilevato che, nel momento in cui l'organo di controllo dovesse ritenere che i dati trattati siano sensibili, si rischia l'accusa di "mancato adeguamento", con le relative conseguenze penali ed amministrative di cui già ampiamente si è discusso sul forum degli operatori dello home video (http://www.videotecheweb.it).
Quindi, ad avviso dell'Ufficio Legislativo della Confesercenti, si considerano quantomeno “opportuni”, oltre alla redazione del documento, gli altri adempimenti prescritti per i dati sensibili, evidentemente più onerosi ed articolati di quelli indicati per i semplici dati personali ordinari.
La soluzione fornita dall'Avvocato Dell'Aquila è quella di redigere comunque un documento interno che abbia la sostanza del DPS, pur essendo denominato anche in altro modo (p.es. “programmazione delle misure minime di sicurezza”), così dimostrando di aver cercato nel modo migliore di adeguarsi a quanto prescritto dal Decreto. E' chiaro che quanto dichiarato, in riferimento a qualsiasi tipologia di documento interno, deve necessariamente corrispondere alla verità.

Conservazione dei dati personali dopo la scadenza della tessera
In sede di assemblea è stato altresì rilevato che dal giorno di scadenza (eventuale) della tessera, non si è più autorizzati a trattare i dati personali dell'ex-cliente. Si rende necessario quindi specificare nel contratto eventuali periodi di attesa prima della cancellazione dei dati in archivio.
Per esempio se non si procede alla cancellazione per permettere al cliente di riattivare la tessera anche dopo la scadenza per la convalidazione di un eventuale credito è necessario specificare tale pratica nell'informativa al cliente.

Protezione dei dati sul distributore automatico
Molto più problematico è il quadro che invece si presenta per quanto riguarda l'adeguamento dei distributori automatici. In alcuni casi, non è tecnicamente possibile l'adeguamento della macchina, poiché le schede elettroniche utilizzate per la gestione dei magazzini, delle pinze ecc., non possono essere utilizzate su altri sistemi operativi. Quindi, più che di adeguamento si può parlare di sostituzione. Purtroppo anche questa è una soluzione non sempre applicabile, poiché per alcuni marchi non esistono ancora macchine che rispondano completamente ai requisiti del Decreto.

Programmi software a disposizione per facilitare l'adeguamento
Durante l'assemblea è stato presentato un servizio utilizzabile via web per la compilazione guidata del DPS. Il fornitore ha offerto una convenzione ad ANVI-Confesercenti, che in questi giorni sta valutando l’opportunità di stipula della stessa, di cui l’associazione darà pronta notizia tramite la posta elettronica.

Quesito da rivolgere al garante da ANVI-Confesercenti
Si è valutata, infine, la possibilità di promuovere un quesito al Garante sugli argomenti ancora non chiari inerenti la privacy e riguardanti i nostri esercizi. La Presidenza Anvi e l'Ufficio Legislativo della Confesercenti stanno vagliando gli elementi da segnalare all’Autority al fine di ottenere gli opportuni chiarimenti.

L'assemblea è stata seguita con notevole interesse dai presenti ed ha visto la partecipazione di altre figure professionali oltre a quella rappresentata dalle videoteche.

L'argomento è ancora di scarso impatto sul pubblico, tuttavia possiamo essere soddisfatti di possedere una conoscenza già così specifica su questo tema veramente molto "spinoso".