Con Informativa n 117 del 12 dicembre il CNDCEC invia agli ordini territoriali un documento intitolato "La consulenza in ambito Privacy: una guida per i Commercialisti" che rappresenta l’inizio di un progetto di valorizzazione della Professione attraverso l’individuazione di nuovi e maggiori ambiti operativi di attività professionale. 

Il documento, redatto da un gruppo di professionisti coordinati dai consiglieri Fabrizio Escheri ed Eliana Quintili, costituisce una sintesi ragionata della complessa disciplina del trattamento dei dati personali, unitamente ad un primo set di allegati e indicazioni operative per tutti i Commercialisti che vogliono sviluppare le proprie competenze professionali al fine di offrire una consulenza qualificata anche in questo ambito. 

Viene specificato che, trattandosi di un ambito professionale nel quale sono richieste competenze giuridiche, economiche, informatiche e organizzative, la professionalità del Commercialista può costituire un elemento di forza con riferimento ai diversi ruoli richiesti, principalmente quelli del consulente e/o del DPO. 

Il corposo documento di circa 60 pagine affronta i temi riportati nel sommario:

PRIMA PARTE – IL RUOLO DEL COMMERCIALISTA NELL’AMBITO DELLA CONSULENZA PRIVACY 

• Cenni sul Regolamento Europeo per la protezione dei dati personali (GDPR)
• I soggetti obbligati: casistica
• Il titolare del trattamento dei dati
• Il contitolare del trattamento dei dati
• Il responsabile del trattamento dei dati 
• Il rappresentante 
• La figura del consulente privacy per l’assistenza ai soggetti obbligati
• L’incarico di DPO (Data Protection Officer)
• Competenze, compiti e ruoli del DPO

SECONDA PARTE – GLI ADEMPIMENTI PRIVACY

• Il principio di responsabilizzazione (accountability) e gli altri principi della normativa sulla privacy 
• L’analisi dei rischi
• Premessa
• Definizione di rischio GDPR 
• Un tool per effettuare l’analisi dei rischi
• La valutazione di impatto (Data Protection Impact Assessment) 
• remessa normativa
• Criteri per definire l’obbligatorietà della valutazione d’impatto
• Risultato del processo di valutazione d’impatto
• Le misure di sicurezza
• La violazione dei dati personali (data breach)
• I registri dell’accountability 
• Il registro dei trattamenti 
• Registro delle violazioni
• Registro dell’esercizio dei diritti degli interessati
• I codici di condotta e i sistemi di certificazione privacy

Accedi qui per scaricare il documento

Pubblicato in GU n 200 del 27 agosto il decreto MISE del 27 luglio per la determinazione della tariffa per l'accesso al registro pubblico delle opposizioni da  parte  degli  operatori  di  TLC,  per  l'anno  2022.

In particolare, la tariffa per l'accesso al registro pubblico delle opposizioni da parte degli operatori è indicata nella tabella seguente.

Ricordiamo che gli operatori si iscrivono per escludere dalle proprie liste di contatti i numeri di telefono e/o indirizzi postali dei contraenti che si sono opposti al telemarketing.

Come indicato nel decreto, ogni operatore  iscritto  al  registro  acquista,  in  modalità prepagata e  secondo  quanto  previsto  in  fase  di iscrizione  dal contratto con il gestore del registro, una  quantità di  verifiche, per multipli di 50.000, al costo di cui alla tabella

Inoltre, ogni operatore invia al gestore del registro le verifiche  acquistate al fine di verificare l'esercizio espresso dai contraenti del diritto di opposizione al trattamento dei dati di cui all'art. 129, comma 1, del decreto legislativo 30 giugno 2003, n. 196, per fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, mediante l'impiego del telefono o della posta cartacea e dei diritti sanciti dalla legge 11 gennaio 2018, n. 5.
Le  verifiche,  su  richiesta  dell'operatore,  possono anche avvenire in tempi diversi, fino al raggiungimento di una quantità complessiva, intesa come somma delle dimensioni delle  singole  liste sottoposte a verifica, pari alla quantità acquistata.
Le tariffe di cui alla tabella hanno validità fino al 31 dicembre 2022.

L'acquisto di una  quantità di  verifiche  ha  validità fino all'esaurimento delle verifiche.
In  caso di  cessazione della validità dell'iscrizione al registro da parte dell'operatore, l'eventuale presenza di verifiche acquistate non ancora sottoposte al registro non determina per l'operatore stesso un credito, con obbligo di rimborso da  parte  del gestore.
In caso di revisione delle tariffe, i nuovi importi si applicano alla sottoscrizione di nuove verifiche,  senza  alcun  effetto  sulle quantità acquistate in precedenza. 

Leggi anche Registro delle opposizioni: attivo dal 27 luglio

Nel 2019 l’Unione Europea ha riformato l’impianto normativo alla base delle garanzie previste per la vendita ai consumatori, attraverso l’emanazione di due diverse direttive:

• con la Direttiva UE 2019/771 è stata rimodulata e rafforzata la preesistente normativa sulla vendita di beni ai consumatori;
• con la Direttiva UE 2019/770 sono state introdotte specifiche norme riguardo la fornitura ai consumatori di contenuti e servizi digitali.

Nel novembre 2021 il Legislatore italiano ha attuato le due direttive attraverso l’emanazione dei Decreti Legislativi 170/2021 e 173/2021, con i quali sono state apportate diverse modifiche al Codice del consumo: tra queste particolare rilievo assume l’introduzione del nuovo Capo I-bis, equivalente agli articoli da 135-opties a 135-vicies ter, dedicato ai contratti di fornitura di contenuti e servizi digitali, la cui efficacia decorre dal giorno 1 gennaio 2022.

La disciplina sulla fornitura di contenuti e servizi digitali solo in parte ricalca quella sulla fornitura di beni; in relazione ad alcune questioni assume connotazioni peculiari non prive di interesse. 

Nella fattispecie, le controparti interessate sono il consumatore e il fornitore di contenuti e servizi digitali: la normativa unionale definisce “professionista” il fornitore di tali beni immateriali, ma l’espressione non deve essere confusa con la connotazione ristretta che il termine assume in italiano: secondo le definizioni europee è tale, infatti, qualsiasi persona, fisica o giuridica , pubblica o privata, che agisca nel perimetro della sua attività commerciale, industriale, artigianale o professionale. Fondamentalmente, quindi, nella situazione in esame, è definito professionista il fornitore di contenuti e servizi digitali.

Però, il perimetro di interesse della normativa non è così esteso come potrebbe sembrare: sono infatti previste una molteplicità di situazioni che non sono soggette alla normativa, come disposto, nella normativa italiana, dall’articolo 135-novies del Codice del consumo. Le principali esclusioni sono riconducibili alla fornitura di:

• servizi diversi dai servizi digitali, anche quando il fornitore utilizzi modalità telematiche per erogare il servizio: in base al considerando 27 della Direttiva UE 2019/770 possono essere considerati servizi di diversa natura quelli che in Italia si considerano servizi di consulenza professionale.
• servizi di assistenza sanitaria;
• servizi finanziari;
• giochi d’azzardo;
• contenuti digitali forniti da enti pubblici;
• software offerti gratuitamente sulla base di una licenza libera, per il quale il consumatore non corrisponde un corrispettivo e i dati personali forniti sono utilizzati per migliorare il software specifico;
• contenuti digitali messi a disposizione quale parte di uno spettacolo pubblico o di un evento.

Definito il contesto in cui si inserisce e definisce la nuova normativa sulla fornitura di contenuti e servizi digitali ai consumatori, poniamo l’attenzione sull’elemento più innovativo dell’impianto normativo: quello contenuto al comma 4 dell’articolo 135-octies del Codice del consumo, il quale disciplina la particolare situazione in cui il fornitore di contenuti e servizi digitali non richiede un corrispettivo in denaro al consumatore, ma utilizza i dati personali da questi forniti per scopi diversi, quali la finalità commerciale.

I dati personali possono essere forniti, dall’utente al fornitore, al momento della conclusione del contratto di fornitura, ma anche successivamente, proprio attraverso l’utilizzo del servizio digitale offerto: il Legislatore unionale, con altre parole, attraverso questo punto disciplina, portandola alle tutele previste dal Codice del consumo, l’attività commerciale espletata dalle grandi piattaforme del web, le quali utilizzano per finalità commerciali le informazioni rilasciate dai consumatori.

L’importanza del punto è stato per colto e commentato dalla Circolare numero 22 di Assonime, pubblicata il 13 luglio 2022, la quale nota che “sebbene il considerando 24 della Direttiva UE 2019/770 sottolinei che la protezione dei dati personali è un diritto fondamentale e che tali dati non possono essere considerati una merce, non vi è dubbio che la scelta di considerare la cessione di dati personali quale possibile controprestazione a carico del consumatore costituisce un passaggio significativo nella costruzione di un sistema sempre più incentrato sul riconoscimento del valore economico del dato personale”.

Appare evidente come la normativa in esame interagisca direttamente con le previsioni del GDPR, il fondamento giuridico unionale alla base della normativa italiana sulla privacy, il quale prevale sul Codice del consumo, per le questioni in conflitto.

Il MISE informa che dal 27 luglio è operativo il nuovo registro pubblico delle opposizioni (RPO) al telemarketing selvaggio che

• semplifica le procedure per i cittadini che intendono tutelare la propria privacy da attività promozionali invasive e indesiderate verso i cellulari
• e pone nuovi obblighi per gli operatori

In particolare, la tutela viene estesa ai numeri di telefono cellulare con la possibilità di iscrizione all’RPO annullando così i consensi all’utilizzo dei dati da parte degli operatori, i quali saranno obbligati a consultare periodicamente il registro e comunque prima dell’avvio di ogni campagna pubblicitaria.

Registro pubblico opposizioni: che cosa è

Il sito del RPO Registro per le opposizioni si compone di due sezioni:

• una per il cittadino
• una per l'operatore

Il RPO è un servizio pubblico gratuito per il cittadino che intende opporsi all’utilizzo

• del proprio numero telefonico, fisso o cellulare, 
• e dell'indirizzo postale 
• presente negli elenchi pubblici
• per finalità pubblicitarie e ricerche di mercato. 

Il servizio si rivolge anche all'operatore che effettua attività di marketing tramite il telefono e/o la posta cartacea

Per gli operatori di telemarketing infatti subentra l’obbligo di verificare mensilmente con il RPO le liste di numeri che intendono contattare per fini di invio di materiale pubblicitario, vendita diretta, comunicazione commerciale e compimento di ricerche di mercato. Tale verifica deve avvenire comunque prima dell’avvio di ogni campagna promozionale.

Un’importante innovazione del servizio che riguarda l’operatore consiste nella nuova Area riservata progettata per semplificare le procedure di interazione con il RPO e con diverse funzionalità in più. 

Gli operatori potranno inviare le liste di contatti, accedendo all’Area riservata oppure tramite PEC. Le liste vengono restituite entro 24 ore dalla sottomissione, con l’indicazione per ogni numero se è iscritto o meno e l’eventuale data di annullamento dei consensi.

Viene specificato che con il nuovo registro delle opposizioni si completa un percorso molto atteso dai cittadini che ha coinvolto, insieme al Mise e la Presidenza del Consiglio, il Parlamento, l’Agcom, il Garante della Privacy, gli operatori e le associazioni dei consumatori.

Registro opposizioni: iscriversi contro il marketing selvaggio sui cellulari 

Nella sezione per il cittadino ci si potrà iscrivere gratuitamente e una volta iscritti non si potrà più essere contattati dall’operatore di telemarketing, a meno che quest’ultimo non abbia ottenuto specifico consenso all’utilizzo dei dati successivamente alla data di iscrizione oppure nell'ambito di un contratto in essere o cessato da non più di trenta giorni.

Nella sezione per gli operatori, invece, ci si registra per escludere dalle proprie liste dei ocntatti i numeri di telefono e/o indirizzi postali dei contraenti che si sono opposti al telemarketing.  Oppure ci si registra per accedere alla propria area riservata per poter operare con il servizio (clicca qui per saperne di più)

I generale, l’iscrizione nel registro è possibile:

• compilando un apposito modulo elettronico sul sito del RPO: www.registrodelleopposizioni.it, 
• oppure telefonando al numero verde 800 957 766 per le utenze fisse e allo 06 42986411 per i cellulari o inviando un apposito modulo digitale tramite mail all’indirizzo [email protected].

Restano invece valide le iscrizioni inserite precedentemente al nuovo RPO, con la facoltà per l’utente di annullare i consensi attraverso il rinnovo dell’iscrizione.

Leggi anche Registro pubblico oppositori: le regole in vigore dal 14.04