29/06/2011

La privacy nelle imprese: cosa cambia?

Tra le novità relative all'applicazione della legge sulla privacy nelle imprese, si segnala anche l'esonero dall'obbligo di predisposizione del DPS.


Tra le novità relative all'applicazione della legge sulla privacy nelle imprese, si segnala anche l'esonero dall'obbligo di predisposizione del DPS.

In particolare, l'art. 6 del provvedimento (rubricato "Ulteriori riduzioni e semplificazioni degli adempimenti burocratici") contiene nei suoi primi due commi alcune importanti novità per le imprese in materia di trattamento dei dati personali.

Innanzitutto il comma 1, lettera a) dell'art. 6 ridimensiona fortemente l'ambito di applicazione del Codice della privacy stabilendo che: "in corretta applicazione della normativa europea le comunicazioni relative alla riservatezza dei dati personali sono limitate alla tutela dei cittadini, conseguentemente non trovano applicazione nei rapporti tra imprese".

Il successivo comma 2, invece, introduce importanti modifiche ad alcuni articoli del D.Lgs. n. 196/2003.

Vediamole brevemente nel dettaglio.

Per quanto riguarda l'ambito di applicazione del Codice, il nuovo comma 3-bis aggiunto all'art. 5 prevede che:

"Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell'ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo-contabili, come definite all'articolo 34, comma 1-ter, non è soggetto all'applicazione del presente codice."

Quindi, la protezione della riservatezza dei dati personali è limitata ai cittadini (cioè alle persone fisiche) e non trova applicazione nei rapporti tra imprese; o meglio, i dati delle persone giuridiche, imprese, enti e associazioni (quindi non solo, come ora previsto, i dati relativi alle attività economiche) possono essere trattati senza vincoli, purchè si tratti di trattamenti per le normali finalità amministrativo-contabili.

Lo stesso decreto, modificando il comma 1-bis dell'art. 34 sulle misure di sicurezza per i trattamenti dei dati con strumenti informatici (già modificato dalle semplificazioni introdotte con il D.L. n. 112/2008, convertito nella legge n. 133/08), chiarisce che:

"Ai fini dell'applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati.In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all'adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all'applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro".

Pertanto, tradotto in pratica, non sono più necessarie informative e richieste di consenso se si trattano dati personali relativi a persone giuridiche, esclusivamente per finalità amministrativo-contabili, nel senso chiarito dalla nuova norma.

Un'altra importante novità riguarda la gestione dei curricula nel caso di trasmissione spontanea da parte degli interessati.

Il punto 2) del comma 2 dell'art. 6 del decreto per lo sviluppo, infatti, aggiunge alla fine dell'art. 13 relativo all'informativa il nuovo comma 5-bis che prevede che:

"L'informativa di cui al comma 1 non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell'eventuale instaurazione di un rapporto di lavoro. Al momento del primo contatto successivo all'invio del curriculum, il titolare è tenuto a fornire all'interessato, anche oralmente, una informativa breve contenente almeno gli elementi di cui al comma 1, lettere a), d) ed f)."

Perciò, soltanto in un momento successivo a quello in cui ci sarà un primo contatto, il titolare del trattamento (per esempio l'azienda che convoca l'interessato), anche durante il colloquio con il candidato, sarà tenuto a fornire gli elementi dell'informativa previsti dall'art. 13: finalità e modalità del trattamento; soggetti che possono venire a conoscenza dei dati in quanto responsabili o incaricati del trattamento e ambito di diffusione dei dati; indicazione delle modalità per conoscere l'identità di tutti i responsabili del trattamento. In conseguenza di ciò, il decreto inserisce nell'art. 24 del Codice un'apposita esclusione dell'obbligo del consenso per il trattamento dei dati dei curricula ricevuti.

Infatti, il punto 3) del comma 2 dell'art. 6 del decreto prevede che: "all'art. 24, comma 1, lettera g) le parole: "anche in riferimento all'attività di gruppi bancari e di società controllate o collegate" sono soppresse" e dopo la lettera i) è aggiunta la lettera i-bis) che prevede che il trattamento dei dati comuni può essere effettuato senza consenso quando riguarda dati contenuti nei curricula, nei casi di cui all'articolo 13, comma 5-bis".

Inoltre, la nuova lettera i-ter dell'art. 24, introdotta dal D.L. n. 70/2011 dispone che il trattamento dei dati comuni non necessita di consenso (fermo restando l'obbligo di rilasciare idonea informativa agli interessati) quando: "con esclusione della diffusione e fatto salvo quanto previsto dall'art. 130 del presente codice, riguarda la comunicazione di dati (ndr. relativi a persone fisiche o giuridiche) tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell'articolo 2359 del codice civile ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti, per le finalità amministrativo contabili, come definite all'articolo 34, comma 1-ter, e purché queste finalità siano previste espressamente con determinazione resa nota agli interessati all'atto dell'informativa di cui all'articolo 13".

L'esonero dall'obbligo del consenso riguarda anche i dati sensibili contenuti nei curricula , infatti il punto 4) del comma 2 dell'art. 6 del decreto Sviluppo introduce una apposita deroga all'interno del comma 3 dell'art. 26 del Codice, inserendo - dopo la lettera b) - la nuova lettera b-bis che prevede che il comma 1 (obbligo di consenso scritto per il trattamento dei dati sensibili) non si applica al trattamento "dei dati contenuti nei curricula, nei casi di cui all'articolo 13, comma 5-bis".

Ma la maggiore tra le novità introdotte con il decreto riguarda - almeno nella prospettiva di semplificazione perseguita dal Governo - l'esonero dall'obbligo di predisposizione del DPS (Documento Programmatico per la Sicurezza).

Infatti, il punto 5) del comma 2 dell'art. 6 del decreto sostituisce il comma 1-bis dell'art 34 del Codice stabilendo che:

"Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell'allegato B".

Il testo del comma 1-bis dell'art. 34 (introdotto originariamente dal D.L. n. 112/2008, convertito nella legge n. 133/08) era molto più restrittivo, poiché ammetteva la semplificazione solo per coloro che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione a organizzazioni sindacali o a carattere sindacale.

L'allargamento dell'agevolazione è notevole, perché non si parla più solo di dati sanitari e sindacali, ma si parla ora di tutti i dati sensibili e giudiziari; inoltre nella versione precedente la platea degli interessati era ristretta a dipendenti e collaboratori, mentre nella versione del decreto per lo sviluppo, il trattamento di dati di coniugi e parenti del dipendente è compatibile con la semplificazione.

La stessa disposizione prevede, inoltre, che: "In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrativo-contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l'innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all'adozione delle misure minime di cui al comma 1". A questo proposito va ricordato che il Garante, con il provvedimento generale 27 novembre 2008, aveva già introdotto alcune semplificazioni a favore di tratta dati personali non sensibili o tratta come unici dati sensibili dei dipendenti quelli riguardanti lo stato di salute o malattia (senza indicazione della diagnosi) o l'adesione a organizzazioni sindacali e a favore di piccole e medie imprese, liberi professionisti e artigiani che trattano dati solo per le correnti finalità amministrative e contabili. In base al provvedimento dell'Authority per la privacy, i soggetti interessati, tra l'altro, possono impartire agli incaricati le istruzioni in materia di misure minime di sicurezza anche oralmente e devono aggiornare i programmi di sicurezza (antivirus) solo una volta l'anno, e fare il backup dei dati solo una volta al mese.

Un'ultima semplificazione introdotta dal punto 69 del comma 2 dell'art. 6 del decreto per lo sviluppo riguarda il marketing cartaceo; infatti "all'art. 130, comma 3-bis (articolo introdotto dall'art. 20-bis della legge 20 novembre 2009, n. 166 di conversione del cd. "decreto Ronchi") dopo le parole: "mediante l'impiego del telefono" sono inserite le seguenti: "e della posta cartacea" e dopo le parole: "l'iscrizione della numerazione della quale è intestatario" sono inserite le seguenti: "e degli altri dati personali di cui all'articolo 129, comma 1,".

In sostanza, il decreto estende anche agli indirizzi postali il regime dell'opt-out di recente introdotto nel nostro ordinamento in materia di trattamento dei numeri telefonici degli abbonati per l'esercizio del marketing telefonico.

Quindi, anche per il marketing fatto per posta vale il Registro delle opposizioni, per cui gli operatori di marketing diretto potranno utilizzare anche gli indirizzi degli abbonati contenuti nell'elenco telefonico per finalità promozionali senza bisogno di chiedere il consenso alla sola condizione che questi ultimi non abbiano richiesto l'iscrizione del proprio numero telefonico e del proprio indirizzo presso il registro delle opposizioni di recente istituito dalla legge n. 166/09 e gestito dalla Fondazione Ugo Bordoni.

0Commento

Attività degli amici