Stupore, e sconcerto. Questi i sentimenti che in chi scrive ha suscitato la Manovra Monti per ciò che attiene alla privacy, la cui disciplina è stata oggetto di una vera e propria rivoluzione.
Stupore, perché, dopo le recenti modifiche apportate al Codice della privacy per effetto del Decreto Sviluppo, detti interventi sono giunti inaspettati.
Sconcerto, in quanto, sotto un profilo strettamente giuridico, desta non poche perplessità il fatto che il nuovo assetto sia stato disegnato da uno strumento, quale il “decreto-legge”, che il Governo (cui non appartiene la funzione legislativa, la quale, come noto, è esercitata dalle Camere) può utilizzare solo in casi straordinari di necessità ed urgenza, non presenti nel caso di specie in relazione alla privacy.
La modifica è conseguita ad una sola previsione, ma di portata dirompente.
Facciamo chiarezza, ripercorrendone, anzitutto, il dato normativo.
La Manovra Monti, all’art. 40, comma 2, così recita:
“2. Per la riduzione degli oneri in materia di privacy, sono apportate le seguenti modifiche al decreto legislativo 30 giugno 2003, n. 196:
a) all’articolo 4, comma 1, alla lettera b), le parole “persona giuridica, ente od associazione” sono soppresse e le parole “identificati o identificabili” sono sostituite dalle parole “identificata o identificabile”.
b) All’articolo 4, comma 1, alla lettera i), le parole “la persona giuridica, l’ente o l’associazione” sono soppresse.
c) Il comma 3-bis dell’articolo 5 è abrogato.
d) Al comma 4, dell’articolo 9, l’ultimo periodo è soppresso.
e) La lettera h) del comma i dell’articolo 43 è soppressa.”
Già ad una prima lettura, si percepisce quella che è la novità di maggior impatto: la nozione di “dato personale”, perno della disciplina di cui al Codice della Privacy, si depotenzia, essendo detta relativa alle sole persone fisiche (e non, come in passato, anche alle persone giuridiche, enti o associazioni).
Va da sé che la modifica si riverbera anche sulla definizione di “interessato”, che ora può essere solamente una persona fisica.
Da quanto precede consegue che la persona giuridica (sia essa una società, un ente o un’associazione) fuoriesce del tutto dalla disciplina-privacy in quanto soggetto da tutelare, e ciò a prescindere dal fatto che il trattamento dei dati personali avvenga per finalità amministrativo-contabili, o meno (in relazione a quest’ultimo aspetto si noti che, coerentemente, il comma 3-bis dell’art.5 è stato abrogato).
Come rilevato in precedenza, trattasi di una rivoluzione.
Ciò, tuttavia, non significa che le imprese possano disattendere le indicazioni del Codice della privacy e del Garante per la protezione dei dati personali, poiché esse trattano, e continueranno a trattare, anche dati di persone fisiche.
Come non significa che la persona giuridica scompaia dal Codice della privacy.
Il riferimento alle persone giuridiche, enti od associazioni, infatti, continua ad essere incluso nella definizione, tra le altre, di “abbonato”.
Ciò comporta che, in forza del combinato disposto degli articoli 129 e 130 del Codice, il telemarketing su elenchi continua a ricevere protezione ai sensi della disciplina privacy.
Non vengono meno, peraltro, anche altre tutele per gli abbonati, tra cui quelle dettate dall’art. 122 e seguenti del Codice.
Sul fatto che quanto appena riferito discenda da una scelta consapevole, e non sia, piuttosto, frutto di una svista nella redazione del provvedimento, pare lecito nutrire dubbi.
Sfugge, infatti, la ragione per la quale la persona giuridica, la cui tutela in punto privacy esce non poco affievolita dalla Manovra Monti, conserva intatte le proprie prerogative relative allo status di abbonato e, in particolare, in tema di telemarketing.
A maggior ragione se si considera che, ai sensi dell’art. 130 del Codice, che disciplina le “comunicazioni indesiderate”, ora le persone giuridiche, gli enti e le associazioni possono, per esempio, essere destinatari di campagne di e-mail marketing e di fax marketing ancorchè non vi abbiano prestato consenso.
Pare opportuno, infine, intervenire sull’art.141 del Codice, in tema di tutele dinnanzi al Garante, che la norma riserva all’interessato, al fine di consentire che anche le persone giuridiche possano avervi accesso (si pensi all’ipotesi in cui una società, nominata responsabile del trattamento, abbia interesse a rappresentare all’Authority la relativa designazione come non conforme a legge).