Lo scorso 19 gennaio è stato pubblicato in Gazzetta Ufficiale il “Regolamento recante modifiche al DPR n. 178/2010, in materia di registro pubblico delle opposizioni, con riguardo all’impiego della posta cartacea” (DPR n. 149 dell’8 novembre 2018, in seguito il “Regolamento” o il “DPR”). Il Registro delle Opposizioni (ovvero, il registro al quale si devono iscrivere coloro che non intendono ricevere “comunicazioni commerciali dirette”, in seguito il “Registro”), operativo fin dal 2010 per quanto concerne il marketing telefonico, viene ora esteso al marketing effettuato attraverso la posta cartacea. Per non essere “disturbati” anche da comunicazioni cartacee non richieste sarà necessario iscriversi al Registro. In difetto d’iscrizione, gli indirizzi presenti negli “elenchi telefonici pubblici” potranno essere utilizzati – e dunque raggiungibili attraverso comunicazioni promozionali – anche in mancanza di un preventivo consenso da parte dell’interessato. Tutto quanto sopra, con efficacia dal 6 maggio 2019. Il Regolamento, in vigore dal 3 febbraio scorso, concede, infatti, 90 giorni di tempo prima di essere pienamente operativo (il novantesimo giorno è sabato 4 maggio, dunque si slitterà a lunedì 6). Lo stesso Garante Privacy ha caldeggiato che, nella versione definitiva del DPR, si tenesse conto di un periodo transitorio. Ciò, sia per permettere agli “abbonati/interessati al trattamento dei dati” di informarsi ed iscriversi nel Registro prima di essere “disturbati” e sia per realizzare e mettere a punto il Registro. Per conoscere nel dettaglio le modalità operative di funzionamento e iscrizione (ad esempio, non ci si potrà più iscrivere al Registro via fax, ma solo via web, e-mail o telefono), occorrerà consultare nei prossimi mesi direttamente il sito web del Registro. Viene, peraltro, raddoppiato il “periodo di efficacia” della consultazione, entro il quale l’operatore di marketing potrà utilizzare l’indirizzo di interesse reperito negli “elenchi abbonati”: rispetto ai precedenti 15 giorni, ora la consultazione del Registro da parte degli operatori avrà efficacia pari a 30 giorni. Per le aziende che intendono operare nel marketing diventa, pertanto, importante la consultazione del Registro. È stata, altresì, integrata e modificata la disposizione relativa all’obbligo di informativa a favore del soggetto contattato. Dovranno essere poste a conoscenza dell’interessato, ad esempio, la fonte dei dati usati nonché le indicazioni utili all’eventuale iscrizione nel Registro; tutto ciò, all’interno degli stessi materiali di promozione commerciale o nei documenti di fatturazione. In caso di inottemperanza al predetto “obbligo di consultazione preventiva” si andrà incontro alla sanzione pecuniaria amministrativa prevista, nel massimo, fino a 20 milioni di Euro o al 4% del fatturato globale annuo. Nei prossimi mesi verranno effettuate campagne informative e di sensibilizzazione, volte a favorire la piena conoscenza, da parte dei singoli individui, delle novità legislative su descritte.
Background
È stato recentemente reso pubblico il parere 12/2018, adottato il 25 settembre scorso dal “Comitato europeo per la protezione dei dati” (European Data Protection Board”, “EDPB”), ossia l’Organismo preposto, principalmente, a garantire un’applicazione uniforme e coerente, in tutti gli Stati membri, del Regolamento Europeo 679/2016 in materia di protezione dei dati personali delle persone fisiche (“GDPR”). L’EDPB è di fatto succeduto al precedente c.d. “Gruppo di lavoro articolo 29” (Working Party 29, “WP29”), con più ampi poteri e nuovi compiti.
Nell’ambito dell’opera di allineamento delle varie prassi interne, negli scorsi mesi, le Autorità di controllo degli Stati membro hanno trasmesso all’EDPB un proprio elenco di “tipologie di trattamenti di dati” richiedenti la preventiva “valutazione d’impatto sulla protezione dei dati” (c.d. “DPIA”) quale condizione di liceità del trattamento.
Il caso italiano
L’Elenco presentato dal Garante Privacy italiano individua sei tipologie di trattamenti richiedenti il previo esperimento di una DPIA, e specificamente: (i) il trattamento di dati biometrici; (ii) il trattamento di dati genetici; (iii) il trattamento svolto utilizzando tecnologie innovative; (iv) il monitoring dei dipendenti; (v) il “trattamento ulteriore di dati personali” e il (vi) trattamento riferito ad una “specifica base giuridica”.
L’EDPB ha risposto al nostro Garante con proprie osservazioni, alcune di carattere generale, altre di natura più dettagliatamente “prescrittiva”.
Con specifico riferimento al trattamento di dati biometrici, genetici o svolto secondo l’utilizzo di nuove tecnologi, l’EDPB ritiene che non sia di per sé idoneo a creare un rischio certo per i diritti e le libertà degli interessati. A suo parere occorre, perché la DPIA sia necessaria, la presenza di almeno un’altra delle nove fattispecie elencate nelle “Linee Guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679”, adottate dal gruppo di Lavoro Articolo 29 e comunemente definite Linee WP248 (e.g.: trattamenti che permettono di giudicare un soggetto in base ad una profilazione; monitoraggio sistematico; matching di diversi insiemi di dati).
L’EDPB concorda, invece, col Garante italiano allorquando questi sostiene che un monitoraggio sistematico, su soggetti di per sé vulnerabili quali i dipendenti, sia un trattamento che richieda l’effettuazione della DPIA.
Prospettive
Per concludere, sarà interessante vedere come si muoverà il Garante italiano: qualora infatti decidesse di non ottemperare alle “prescrizioni” fornite dall’EDPB, il nostro Paese potrebbe essere il primo a venire coinvolto nel nuovo meccanismo di risoluzione delle controversie da parte del Comitato, col c.d. “meccanismo di coerenza” ex artt. 63, 64 e 65 GDPR.
Notizie correlate:
Approvato lo schema di decreto legislativo di adeguamento al GDPR
