Privacy: il Parlamento approva definitivamente l’inasprimento delle sanzioni e la proroga delle "telefonate indesiderate"

Il 24 febbraio 2009 la Camera dei deputati ha definitivamente approvato la "Conversione in legge, con modificazioni, del decreto-legge 30 dicembre 2008, n. 207, recante proroga di termini previsti da disposizioni legislative e disposizioni finanziarie urgenti" il cosiddetto decreto "mille proroghe".
Con tale decreto:

  • sono definitivamente approvati gli inasprimento delle sanzioni previste dal "Codice in
    materia di protezione dei dati personali";
  • sono autorizzazione, fino al prossimo 31 dicembre 2009, le "telefonate commerciali indesiderate" usando i numeri presenti negli elenchi telefonici pubblici formati prima del 1 agosto 2005.

Vediamo in dettaglio di che si tratta.

Inasprimento delle sanzioni

L’articolo 44 del decreto-legge 30 dicembre 2008, n. 207 prevede l’inasprimento di alcune sanzioni previste dal “Codice in materia di protezione dei dati personali” (Privacy). Gli inasprimenti riguardano l’acquisizione e diffusione illecita di dati personali, specie se contenuti in banche dati di grandi dimensioni e di particolare rilevanza. Soni inaspriti anche i limiti minimi e massimi di alcune sanzioni amministrative pecuniarie; sono previste pene mirate e graduate a seconda della gravità della condotta illecita perpetrata. Previste, infine, fattispecie aggravate per alcuni casi, specie quando coinvolgono numerosi interessati o comportino per essi un pregiudizio maggiormente rilevante.

Sanzioni amministrative

Prima del DL 207/2008

DOPO il DL 207/2008

Omessa od inidonea informativa all’interessato

Da 3.000 a 18.000 euro

Da 6.000 a 36.000 euro

Cessione illecita dei dati

Da 5.000 a 30.000 euro

Da 10.000 a 60.000 euro

Violazioni relative ai dati personali idonei a rivelare lo stato di salute

Da 500 a 3.000 euro

Da 1.000 a 6.000 euro

Omessa o incompleta notificazione

Da 10.000 a 60.000 euro

Da 20.000 a 120.000 euro

Omessa informazione o esibizione di documenti al Garante

Da 4.000 a 24.000 euro

Da 10.000 a 60.000 euro

 

Nuovo comma 2 bis all’articolo 162

In caso di "trattamento di dati in violazione delle misure di sicurezza (misure di cui all’art. 33 e dell’allegato B al Dlgs. 196/2003 incluso il DPS) " si applica in sede amministrativa in ogni caso la sanzione da 20.000 a 120.000 euro. L’articolo 169 prevede inoltre l’arresto sino a due anni ‐ nel caso di regolarizzazione delle omissioni nei 60 giorni successivi l’autore della violazione è ammesso a definire la violazione con il pagamento del quarto del massimo; l’adempimento ed il pagamento estinguono il reato.

Introduzione dell’articolo 164 bis c. 1

(Casi di minore gravità) Se taluna delle violazioni di cui agli articoli 161‐162‐163‐164 è di minore gravità avuto riguardo anche alla natura economica e sociale dell’attività svolta i limiti minimi e massimi delle sanzioni sono applicati in misura pari a 2/5 (due quinti)

Introduzione dell’articolo 164 bis c. 2

(Cumulo delle sanzioni) In caso di violazione di più disposizioni ad eccezione di quelle di cui all’art. 162 c. 2 ‐162 bis e 164, commesse anche in tempi diversi in relazione a banche dati di particolare rilevanza o dimensioni si applica la sanzione amministrativa da 50.000 a 300.000 euro.

Introduzione dell’articolo 164 bis c. 3

(Casi di maggiore gravità) Nei casi di maggiore gravità e di maggiore rilevanza del pregiudizio per uno o più interessati, o quando la violazione coinvolge numerosi interessati, i limini minimo e massimo delle sanzioni sono applicati in misura pari al doppio.

Introduzione dell’articolo 164 bis c. 4

(Casi di maggiore gravità) Le sanzioni possono essere aumentate sino al quadruplo quando possono risultare inefficaci in ragione delle condizioni economiche del trasgressore.

Telefonate indesiderate

All'articolo 44, dopo il comma 1, è inserito il seguente:«1-bis. I dati personali presenti nelle banche dati costituite sulla base di elenchi telefonici pubblici formati prima del 1o agosto 2005 sono lecitamente utilizzabili per fini promozionali sino al 31 dicembre 2009, anche in deroga agli articoli 13 e 23 del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, dai soli titolari del trattamento che hanno provveduto a costituire dette banche dati prima del 1 agosto 2005».

Cosa significa?

Tutto nasce dal provvedimento del 2 settembre 2008 con il quale l’Autorità Garante ha vietato ad alcune società specializzate nella creazione e nella vendita di banche dati l’ulteriore trattamento di dati personali di milioni di utenti. Il divieto riguardava anche altre aziende che avevano acquistato da queste società i data base allo scopo di poter contattare gli utenti e promuovere i loro prodotti e servizi tramite call center.
Dalle verifiche effettuate presso le società che hanno fornito i data base era emerso che i dati degli utenti erano stati raccolti e ceduti a terzi senza informare gli interessati, o informandoli in maniera inadeguata, e senza un loro preventivo specifico consenso.
Inoltre le aziende e le compagnie telefoniche che avevano acquistato i dati e li utilizzavano a fini di marketing telefonico (il cosiddetto teleselling), non si erano preoccupate di accertare, come prevede invece la disciplina sulla protezione dei dati, che gli abbonati avessero acconsentito alla comunicazione dei propri dati e al loro uso a fini commerciali.

La contestazione del garante nasce dal fatto che dopo il 1° agosto 2005 i dati personali estratti dagli elenchi telefonici possono essere oggetto di comunicazione solo quando tale trattamento è stato indicato nell'informativa e l'interessato ha manifestato uno specifico consenso (art. 23 del Codice).
Prima dell’approvazione del decreto milleproroghe i dati estratti dagli elenchi telefonici pubblicati prima del 1° agosto 2005 potevano utilizzati dal titolare del trattamento per contattare direttamente gli interessati a condizione che fosse stata fornita a suo tempo un'idonea informativa, circostanza non riscontrata nel caso del 2 settembre 2008  preso in esame dal Garante.

Adesso invece e fino al 31 dicembre 2009 tali numeri telefonici tratti da archivi (ed elenchi) costituiti prima del 1 agosto 2005 possono essere utilizzati senza necessità di informativa (articolo 13 del "Codice in materia di protezione dei dati personali") e di consenso (articolo 23 del Codice).  

Chi è Panfilo Marcelli?

L’ingegner Panfilo Marcelli ha lavorato per oltre vent’anni presso primarie aziende informatiche e di consulenza (IPACRI, Euros Consulting, OASI) con incarichi, anche direttivi, in ambito Information Technology, Privacy e Protezione dei dati personali, Qualità e Certificazione ISO9000 e ISO27001, Workflow Management e Business Process Reengineering, Internet, Intranet e gestione di siti con sistemi CMS. Attualmente é socio di CMa Consulting società specializzata in servizi, consulenza e formazione in ambito Compliance, Privacy, Qualità e Sicurezza. Può essere contattato via email: p.marcelli@cmaconsulting.it 

Altri articoli di Panfilo Marcelli

ComplianceNet: