Scadrà il 15 dicembre – salvo proroghe! – il provvedimento in materia di amministratore di sistema . Non tutti i titolari del trattamento in Italia dovranno adottare gli obblighi imposti dal Provvedimento.
L’Autorità Garante ha previsto una “semplificazione” andando ad escludere dall’applicazione la piccola e media impresa che tratti dati personali non sensibili o chi tratti come unici dati sensibili riferiti ai propri dipendenti e collaboratori anche a progetto, quelli costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero dall’adesione a organizzazioni sindacali o a carattere sindacale. Sono comprese nella “semplificazione” la piccola e media impresa che tratti dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese.
Occorre anzitutto precisare il concetto di piccola e media impresa: la normativa europea definisce piccola impresa quella impresa che occupi meno di 50 dipendenti e che abbia un fatturato oppure un totale di bilancio annuo non superiore a 10 milioni di euro; mentre la media impresa è quella impresa che occupa meno di 250 dipendenti e che abbia un fatturato annuo non superiore a 50 milioni di euro, oppure un totale di bilancio annuo non superiore a 43 milioni di euro (per inquadrarla, si considera il dato più favorevole).
Ebbene, la semplificazione ad una prima lettura sembrerebbe escludere non pochi titolari dall’obbligo normativo. Eppure se rileggiamo bene, ci potremo rendere conto che molte aziende, anche piccole e medie, dovranno adottare il provvedimento.
Si pensi ad esempio al fatto che molti titolari trattano dati relativamente ai potenziali clienti, dei quali non si detengono i dati per fini amministrativi e contabili (in quanto ancora non è intervenuta tra le parti alcuna fatturazione e forse mai interverrà!) ma per fini promozionali, informativi, finalizzati al confezionamento di un’offerta. Si pensi alle aziende che detengono un CRM. Oppure si pensi a tutte quelle strutture in Italia che detengono anche dati di tipo giudiziario, conseguenza diretta di contenziosi giudiziari.
Ed ancora, quando la semplificazione riguarda i dati dei dipendenti, fa riferimento ai dati sensibili raccolti per adempiere agli accordi contrattuali, ma niente dice in riferimento ai dati che facoltativamente molte aziende raccolgono: pensiamo all’adozione di risorse informatiche di mappatura delle connessioni (che possono essere profilate nel rispetto dell’attuale normativa privacy), dati inerenti le telefonate o l’utilizzo di Telepass, che consentono profilazioni geografiche e che assolutamente non rientrano nella semplificazione.
Senza pensare poi che in caso di detenzione di dati di terzi a seguito di servizi di newsletter o mailing-list ed altri servizi online che comportano la raccolta dati, ovviamente si rientrerà nell’obbligo inerente l’ADS.
Insomma, la semplificazione così come posta, semplifica poco: rimarranno esclusi dall’obbligo di applicazione giusto gli artigiani o gli esercenti che non hanno alcuna attività di tipo promozionale. Tra i professionisti, ad esempio, c’è da chiedersi chi rimarrà escluso: non certo i consulenti del lavoro, i commercialisti e gli avvocati, ma nemmeno architetti ed ingegneri che detengono dati elettronici non solo di natura contabile ed amministrativa.
Avv. Valentina Frediani
www.consulentelegaleinformatico.it
www.consulentelegaleprivacy.it