Vedi altra: DOTTRINA
 

Decalogo per l'acquisto di banche dati.

ERIC FALZONE*
 

INDICE

1. Introduzione
2. Quadro Normativo di Riferimento
2.1 Disciplina vigente per banche dati costituite estraendo dati da elenchi telefonici
2.2 Disciplina vigente per banche dati costituite estraendo dati da elenchi pubblici
3. Conclusioni





FONTI NORMATIVE E BIBLIOGRAFICHE
Privacy in Azienda: Manuale di Formazione per Titolari, Responsabili e Incaricati (Autore Eric Falzone – Casa Editrice Hoepli Spa) – Raccomandazione N. R (91) 10 del Comitato dei Ministri agli Stati Membri relativa sulla Comunicazione a terze persone di dati a carattere personale detenuti da Organismi Pubblici - Codice Civile - Decreto Legislativo 30 giugno 2003, n. 196 e Allegato B) – Provvedimento del Garante Privacy del 16 novembre 2006 - Provvedimento del Garante Privacy del 12 maggio 2004 - Parere del Garante Privacy del 23 maggio 2000 “Enti locali - Associazione Nazionale Comuni Italiani - Applicazione da parte dei Comuni della normativa in materia di riservatezza”

NOTE LEGALI
Tutti i diritti sono riservati. La riproduzione, modifica e utilizzo di qualsiasi parte del presente documento è consentita solo previa autorizzazione dell’Autore. E’ comunque escluso ogni utilizzo del contenuto del presente documento per la redazione di ulteriori saggi, testi o pubblicazioni senza il preventivo consenso scritto dell’Autore.


1. Introduzione
Acquistare una banca dati sul mercato sembra attualmente la modalità più semplice ed economica per reperire dati personali da utilizzare per finalità di marketing.
Navigando sul web si trovano, facilmente, sedicenti aziende che promettono la vendita di data base - a loro dire lecitamente utilizzabili per “qualsiasi” finalità - a prezzi di svendita di fine stagione.
L’impulso all’acquisto, per un marketing manager in clima di recessione, è forte ed il miraggio di contatti “prospect” che si trasformano i clienti effettivi un “sogno di una notte di mezza estate”!
Ma cosa nascondono in realtà queste offerte che hanno del miracoloso?
Andando ad analizzare a fondo la modalità di costituzione di tali banche dati, si scopre che sono il frutto di trattamenti illeciti, per non dire il più delle volte di vere e proprie truffe a danno degli interessati, che inconsapevolmente si trovano bersagliati da comunicazioni commerciali indesiderate di tutti i tipi.
Come difendersi, quindi, da incauti acquisti, che possono creare per l’azienda danni di immagine, richieste di risarcimento danni, sanzioni amministrative e portare perfino a condanne penali?
Semplice… conoscere approfonditamente la normativa in materia di dati personali, affidarsi solo a fornitori seri e qualificati e soprattutto rispettare il seguente decalogo.

2. Quadro Normativo di Riferimento
Al fine di poter comprendere a pieno le motivazioni a supporto dei suggerimenti presentati nel successivo decalogo, si rende necessaria una panoramica della vigente disciplina in materia di privacy relativa alla costituzione di banche dati mediante raccolta di dati personali da elenchi pubblici ed in particolar modo da elenchi telefonici.
2.1 Disciplina vigente per banche dati costituite estraendo dati da elenchi telefonici
La disciplina vigente in materia di banche dati costituite estraendo dati personali da elenchi telefonici è regolata dall’art. 129, comma 2, del D.lg. 30 giugno 2003, n. 196, con il quale il legislatore ha definito che la finalità primaria degli elenchi telefonici, in qualsiasi forma realizzati, è la "mera ricerca dell'abbonato per comunicazioni interpersonali”.

Ulteriori finalità quali l’utilizzo dei dati personali in essi contenuti per scopi pubblicitari, promozionali o commerciali, invece, risultano lecite unicamente nel caso vengano soddisfatte tutte le seguenti condizioni:

 sia stata data idonea e preventiva informativa agli interessati
 sia stato liberamente espresso uno specifico consenso al trattamento dei dati personali per finalità pubblicitarie, promozionali o commerciali da parte degli interessati
 sia stato prestato un consenso documentato per iscritto dal titolare.

Con il provvedimento del 15 luglio 2004 l'Autorità Garante per la Protezione dei Dati Personali ha, poi, individuato nuove modalità di inserimento e di successivo utilizzo dei dati personali in elenchi telefonici "alfabetici", definendo che gli abbonati oltre al diritto di scegliere liberamente se e come comparire nell'elenco, possono decidere se ricevere informazioni commerciali o promozionali dando assenso a contrassegnare il proprio indirizzo o numero telefonico con due appositi simboli: uno che consente di ricevere pubblicità telefonica tramite operatore e l’altro che consente di ricevere materiale pubblicitario a domicilio.
Al contempo il Garante Privacy ha stabilito che i dati personali contenuti in banche dati, costituite utilizzando elenchi telefonici pubblicati prima del 1° agosto 2005, possono essere utilizzati dal titolare per contattare direttamente gli interessati solo se è stata loro resa, al momento della raccolta o prima registrazione dei dati, un'idonea informativa redatta ai sensi dell’art. 13 del D.lg. 196/03.
Successivamente al 1° agosto 2005 tali banche dati, invece, possono essere comunicate dal titolare a soggetti terzi esclusivamente nel caso in cui tale operazione sia stata specificatamente indicata nell’informativa in precedenza resa e tale trattamento sia stato espressamente autorizzato dall’interessato.
Qualora le suddette condizioni non vengano entrambe soddisfatte, perciò, la banca dati risulterà illecitamente comunicata e i dati personali in essa contenuti, ai sensi dell’art. 11, comma 2, del d.lg. 196/03, non potranno essere utilizzati in quanto acquisiti in violazione della disciplina rilevante in materia di protezione dei dati personali.

Con il provvedimento del 29 maggio 2003, l’Autorità Garante per la Protezione dei Dati Personali, ha inoltre stabilito che il soggetto terzo, che acquisisce una banca dati da un titolare, prima di utilizzare i dati personali in essa contenuti per finalità promozionali, commerciali e/o pubblicitarie deve accertarsi che agli interessati sia stata resa un’idonea informativa e che essi abbiano prestato validamente il proprio consenso alla comunicazione dei propri dati personali a soggetti terzi per tali finalità.
A seconda della natura del rapporto giuridico che si instaura tra cedente e cessionario e delle personali decisioni in ordine a finalità, modalità del trattamento, strumenti utilizzati e profilo di sicurezza si potrà venire quindi a creare una situazione di titolarità o contitolarità della banca dati tra i soggetti coinvolti.
Indipendentemente da ciò, dovrà comunque essere sempre assicurata agli interessati la facoltà di potere esercitare i diritti previsti dall’art. 7 del D.lg. 196/03, e in particolare la possibilità di:

 conoscere la fonte dalla quale i dati sono stati tratti
 opporsi al trattamento dei dati per finalità di marketing
 ottenere la cancellazione dei dati trattati in violazione di legge.

In sintesi la vigente disciplina in materia di protezione di dati personali prevede che possano essere utilizzate per finalità promozionali, pubblicitarie o commerciali esclusivamente banche dati realizzate estraendo le seguenti categorie di dati:

 dati personali presenti negli elenchi c.d. "alfabetici" per i quali l'interessato ha manifestato il consenso per finalità di marketing
 dati personali presenti negli elenchi c.d. "categorici"
 dati personali presenti nelle banche dati costituite utilizzando dati estratti da elenchi telefonici formati precedentemente al 1° agosto 2005, sempre che il titolare del trattamento sia in grado di dimostrare di aver fornito effettivamente, prima di tale data, un’informativa agli interessati redatta ai sensi dell'art. 13 del Codice Privacy;

Inoltre le banche dati personali costituite utilizzando dati estratti da elenchi telefonici formati precedentemente al 1° agosto 2005 potranno essere comunicate dal titolare a soggetti terzi esclusivamente nel caso in cui tale trattamento sia stato specificatamente indicato nell’informativa e preventivamente autorizzato dall’interessato.
Infine nel caso in cui i dati personali contenuti nelle banche dati così costituite debbano essere trattati per finalità di marketing, mediante l’utilizzo di sistemi automatizzati di chiamata senza l'intervento di un operatore o mediante strumenti di comunicazioni elettronica (quali ad esempio posta elettronica, telefax, mms, sms…), si dovrà rispettare quanto previsto dall’art. 130 del D.lg. 196/03 e richiedere l’espresso consenso degli interessati al compimento di tali operazioni.


2.2 Disciplina vigente per banche dati costituite estraendo dati da elenchi pubblici
La disciplina vigente in materia di banche dati costituite estraendo dati personali da elenchi pubblici è di matrice europea e deriva principalmente dalla Raccomandazione R (91) 10 del Consiglio d'Europa con la quale viene specificatamente sancito che:
 i dati personali provenienti da archivi, registri, elenchi, atti o documenti tenuti da soggetti pubblici “[…] non potranno essere comunicati a terze persone per fini non compatibili con quelli per i quali i dati sono stati raccolti […]” (articolo 2 comma 2).
 “[…] al trattamento di dati a carattere personale fatta da una terza persona che li abbia ricevuti da organismi pubblici […]” dovrà essere applicata “[…] la legislazione interna sulla protezione dei dati […] “ (Articolo 2 comma 3).
 “[…] dovranno essere indicate le finalità per le quali i dati vengono raccolti e trattati negli archivi accessibili a terze persone, così come l'interesse pubblico per il quale è giustificata la loro accessibilità.[…]” (Articolo 4 comma 1).
 “[…] la persona interessata dovrà essere informata, prima della raccolta, del carattere obbligatorio o facoltativo di tale raccolta, dei fondamenti giuridici e delle finalità della raccolta stessa e del trattamento dei dati a carattere personale, così come dell'interesse pubblico che giustifica la loro accessibilità […]” (Articolo 4 comma 2).
 “[…] Quando la persona interessata sia giuridicamente tenuta a fornire i dati per la registrazione in un archivio accessibile a terze persone, il trattamento dei dati da parte di terze persone dovrà essere assoggettato al consenso espresso e chiaro della persona interessata, cioè essere conforme alle prescrizioni della legge.Quando il consenso è richiesto, la persona interessata dovrà poterlo ritirare in ogni momento […]” (Articolo 6 comma 1).
 “[…] Se la registrazione di dati in un archivio accessibile a terze persone è facoltativa, la persona interessata dovrà, prima o al momento della raccolta, essere informata dei suoi diritti: a) di non far registrare i suoi dati nell'archivio accessibile a terze persone […] b) di farli registrare nell'archivio e farli comunicare, senza che tali dati possano essere trattati da terze persone […] c) di opporsi a che i suoi dati continuino a essere trattati da terze persone […] d) di farli cancellare in qualsiasi momento. […]” (Articolo 6 comma 2).
 “[…] Se una terza persona crea archivi contenenti dati a carattere personale ripresi da archivi accessibili a terze persone, tali archivi dovranno essere sottomessi alle regole della legislazione interna sulla protezione dei dati, ivi compresi i diritti della persona interessata.In particolare, la persona interessata dovrà poter conoscere l'esistenza e le finalità del nuovo archivio, ed il suo diritto di di far cancellare i suoi dati dall'archivio in questione. […]” (Articolo 6 comma 3).

3. Conclusioni

Da quanto finora descritto si evince che al fine di non incorrere in “incauti acquisti” e conseguentemente in trattamenti illeciti, ogni azienda che intenda procedere con l’acquisto di una banca dati dovrà sempre attenersi alle seguenti regole base:

1. Selezionare accuratamente il fornitore da cui si intende acquistare una banca dati

2. Richiedere al fornitore un’autodichiarazione di adeguamento alla vigente disciplina in materia di privacy

3. Richiedere al fornitore una dichiarazione di conformità della banca dati alla disciplina in materia di privacy

4. Conoscere la fonte dalla quale i dati personali sono stati estratti o acquisiti

5. Conoscere le modalità di costituzione della banca dati

6. Conoscere le finalità per le quali la banca dati può essere utilizzata

7. Richiedere al fornitore copia dell’informativa privacy resa agli interessati al momento della costituzione della banca dati e/o nei periodi successivi

8. Richiedere al fornitore copia della formula di acquisizione del consenso consegnata e sottoscritta dagli interessati

9. Effettuare una verifica a campione di quanto dichiarato e documentato dal fornitore

10. Astenersi dall’acquisto di banche dati da fornitori che non soddisfino le richieste di cui ai punti precedenti o che abbiano prezzi molto al di sotto della media di mercato.