Apportate modifiche al Codice in materia di protezione dei dati personali o Privacy

Transcript

1 Apportate modifiche al Codice in materia di protezione dei dati personali o Privacy Tipo di documento Legge 12 luglio 2011 n.106 Conversione del DL n.70/2011 (cd Decreto Sviluppo) dettaglio Articolo 6 Comma 1 lettera a) In corretta applicazione della normativa europea le comunicazioni relative alla riservatezza dei dati personali sono limitate alla tutela dei cittadini, conseguentemente non trovano applicazione nei rapporti tra imprese; Pubblicazione in G.U. n 160 del 12 luglio 2011 Entrata in vigore Immediata (retroattiva dal 14 maggio 2011 per alcuni punti) 5 settembre 2011 Premessa Nell ormai lontano 1996, nel recepire nel nostro ordinamento i principi della Direttiva comunitaria 95/46/CE, il legislatore, in un eccesso di zelo, estese le tutele previste per i trattamenti dei dati personali delle persone fisiche, ed i conseguenti obblighi, anche ai dati personali delle persone giuridiche. Questa attenzione ha costretto tutti i titolari di attività imprenditoriali ad adottare le medesime misure di sicurezza ed i medesimi adempimenti sia che i dati trattati fossero quelli del personale e degli utenti dei servizi alla persona, sia che fossero quelli di clienti e fornitori, a loro volta persone giuridiche. Le associazioni di categoria, Confindustria in testa, della quale valutiamo con alcune riserve la circolare interpretativa dalla quale ricaviamo comunque alcuni spunti interessanti, avevano da tempo richiesto una revisione dei principi del Codice così da rimuovere i vincoli introdotti nel 1996 per alcune procedure amministrative e commerciali nei rapporti fra persone giuridiche. Eccole accontentate. Tuttavia le modifiche apportate non esonerano integralmente le persone giuridiche dall applicazione del Codice. Restano oggetto di tutela i trattamenti dei dati personali relativi, almeno, ai dipendenti ed ai collaboratori. Ricordiamo inoltre che notevoli semplificazioni per le imprese che non utilizzano dati personali di persone fisiche salvo quelli dei propri dipendenti e collaboratori erano state già introdotte nel corso del 2008 in più riprese, giugno e novembre. I nuovi principi introdotti e le variazioni ad alcuni adempimenti rendono di fatto superate le semplificazioni del 2008, cancellandone la necessità. 1

2 Le modifiche l articolo 6, comma 2, lettera a), n.1 deroga all applicazione del Codice nei rapporti fra persone giuridiche solo per alcune finalità viene modificato l articolo 5 del Codice Art. 5. Oggetto ed ambito di applicazione 1. Il presente codice disciplina il trattamento di dati personali, anche detenuti all'estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato. 2 e 3 omissis.. 3-bis Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell'ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo - contabili, come definite all'articolo 34, comma 1-ter, non è soggetto all'applicazione del presente codice. Analizzando il comma 3-bis si evince che il trattamento di dati personali non è soggetto al Codice quando: a) sia il titolare che l interessato sono persone giuridiche (persone giuridiche, imprese, enti o associazioni sia di natura privata che pubblica); b) il trattamento ha finalità amministrativo contabili. Nel punto a) sono compresi anche i dati di persone fisiche quando siano soggetti che operino in rappresentanza o che manifestino la volontà dell ente nei rapporti con i terzi: rappresentante legale, titolari di cariche e qualifiche, titolari di procure generali o speciali, soci, associati. Il punto b), che analizzeremo in dettaglio nel successivo paragrafo, esclude i trattamenti per finalità diverse da quelle amministrativo contabili, ad esempio marketing diretto, sondaggi. Quindi la deroga all applicazione del Codice alle condizioni contenute nel comma 3-bis produrrà effetti sugli ordinari rapporti commerciali tra imprese. In questo ambito non saranno più necessari: a) informativa e consenso; b) nominare il responsabile dei trattamenti; c) adottare alcune delle misure di sicurezza (autenticazione e autorizzazione, backup, antivirus e firewall). Alcune di queste misure erano già applicabili in forme ridotte dopo le semplificazioni del Si noti, però, che la possibilità di non applicare alcune delle misure di sicurezza è sfruttabile solo se i sistemi informatici con i quali vengono trattati i dati per le finalità amministrativo contabili sono diversi e separati da quelli utilizzati, ad esempio, per i trattamenti per altre finalità o per i trattamenti dei dati di persone fisiche quali dipendenti e collaboratori. Sarà comunque ancora necessario procedere alla nomina ed alla formazione degli incaricati al trattamento. 2

3 l articolo 6, comma 2, lettera a), n.5 nuova definizione di trattamenti effettuati per finalità amministrative e contabili autocertificazione il luogo del DPS e misure di sicurezza semplificate viene modificato il comma 1-bis dell articolo 34, introdotto con le semplificazioni del 2008, e viene introdotto il comma 1-ter Art. 34. Trattamenti con strumenti elettronici 1. Omissis 1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell' articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell'allegato B). In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrativo-contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l'innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all'adozione delle misure minime di cui al comma 1. 1-ter. Ai fini dell'applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all'adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all'applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro. Il comma 1-ter è senz altro quello più importante, anche al fine dell esenzione dall applicazione del Codice trattata al punto precedente e dell esonero dall obbligo del consenso per le comunicazioni di dati personali all interno di gruppi di imprese, che analizzeremo più avanti. Inoltre la definizione finalità amministrativo contabili si ritrova nei provvedimenti del Garante dal 2008 in poi, non ultimi quelli relativi agli amministratori di sistema ed alla videosorveglianza. Senza andare nel dettaglio, crediamo già abbastanza esaustivo l elenco contenuto nel comma 1-ter, rileviamo che la locuzione adempimento di obblighi contrattuali e precontrattuali possa includere le attività legate alla promozione di beni e servizi preventivamente concordata mentre escluda le azioni di invio non concordato di comunicazioni o materiale pubblicitario, cd. marketing diretto disciplinato dall articolo 130 del Codice. Il comma 1-bis, modificando lo stesso introdotto dalle semplificazioni del 2008, amplia ai lavoratori extracomunitari e al coniuge e paranti del lavoratore la categoria dei soggetti i cui dati non fanno scattare l obbligo di tenuta del DPS e consentono l applicazione delle misure di sicurezza semplificate secondo i provvedimenti del Garante in merito. Ricordiamo che la adozione del DPS è prevista solo in caso di trattamenti elettronici di dati sensibili. Con questo articolo si chiarisce che se i dati sensibili rientrano fra quelli elencati il DPS è sostituito da una autocertificazione e le misure di sicurezza vengono semplificate. 3

4 Purtroppo viene anche aggiunto i soggetti che trattano soltanto dai personali non sensibili. Questa aggiunta contrasta con l originale previsione contenuta nel disciplinare tecnico allegato b) al Codice all articolo 19 che limitava l obbligo al titolare di un trattamento di dati sensibili o di dati giudiziari. Questa incongruenza l avevamo evidenziata anche nell analisi delle semplificazioni del 2008 ma, da allora, non è stata risolta, nemmeno in questa occasione. Con l autocertificazione prevista, da redigere ai sensi dell articolo 47 del testo unico in materia di documentazione amministrativa, il titolare deve dichiarare di trattare dati personali comuni e, quali dati sensibili e giudiziari, solo dati relativi alla gestione del rapporto di lavoro, in osservanza delle misure minime di sicurezza previste dal Codice con le modalità previste dal Disciplinare tecnico allegato b). L autocertificazione va redatta una tantum e, accompagnata dalla fotocopia non autenticata di un documento d identità del Titolare o del Legale Rappresentante, conservata in sede. Va esibita in caso di controlli in luogo del DPS. A questo punto è necessario un riepilogo dei criteri in base ai quali si adotterà il PDS o l autocertificazione. DPS AUTOC. Trattamento solo di dati comuni no no Trattamenti di dati comuni e dati sensibili solo di dipendenti e collaboratori no si Trattamenti di dati comuni e dati sensibili di clienti/utenti si no Anche in caso di possibilità di autocertificazione il Titolare può optare per la redazione del DPS, anche in forma semplificata, che preveda l aggiornamento solo in caso di modifiche al sistema descritto. l articolo 6, comma 2, lettera a), n.3 comunicazione di dati non sensibili in gruppi di imprese questa semplificazione ha effetto per: - società, enti o associazioni e società controllanti, collegate o controllate ai sensi dell art.2359 c.c. o sottoposte a comune controllo; - consorzi (artt.2602 e successivi c.c.); - reti di imprese (art.3 comma 4-ter Legge 33/2009); - raggruppamenti e associazioni temporanee di imprese; e esclude dalla necessità di richiesta di consenso agli interessati in caso di comunicazione di dati non sensibili fra i partecipanti al gruppo. Da questa esenzione restano escluse le cd. attività di marketing diretto. Questa misura risulta utile in caso di partecipazione ad ATI o RTI in quanto consente alle imprese partecipanti di non richiedere un apposito consenso ai propri dipendenti o clienti per la comunicazione di dati nell ambito delle operazioni necessarie per la formazione e la gestione della struttura temporanea. 4

5 l articolo 6, comma 2, lettera a), n.2 curriculum vitae inviati dai candidati nell articolo 13, relativo all informativa da rilasciare sempre all interessato, viene introdotto il seguente comma: 5-bis. L informativa di cui al comma 1 non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell eventuale instaurazione di un rapporto di lavoro. Al momento del primo contatto successivo all invio del curriculum, il titolare è tenuto a fornire all interessato, anche oralmente, una informativa breve contenente almeno gli elementi di cui al comma 1, lettere a), d) ed f). inoltre vengono modificati due casi previsti in esonero di consenso negli articolo 24 e 26. A seguito di queste modifiche si possono riepilogare le seguenti modalità di trattamento dei dati contenuti nei curriculum inviati spontaneamente dai candidati stessi: il CV viene inviato dal candidato per o per posta ordinaria, oppure consegnato direttamente. In ogni caso sarà utile adottare una modalità idonea a documentare la ricezione del CV (stampare , conservare la busta, fare sottoscrivere un modulo di consegna); il CV può essere conservato anche se non contiene l esplicita autorizzazione al trattamento dei dati; l informativa, anche orale, può essere fornita al primo contatto successivo alla ricezione del curriculum e deve specificare: - finalità e modalità di trattamento (eventuale periodo di conservazione), - ambiti di comunicazione (soggetti o categorie di soggetti), - estremi del Titolare; in caso di non interesse il CV deve essere distrutto o cancellato dagli archivi di posta; al termine del periodo stabilito per la conservazione dei CV di interesse si applica il punto precedente. Queste semplificazioni non si applicano per l invio di curriculum sollecitati, anche in risposta ad inserzioni o annunci su giornali o siti web. In questo caso l inserzione dovrà contenere anche l informativa preventiva. l articolo 6, comma 2, lettera a), n.6 modifica del regime opt-out viene introdotta la possibilità di utilizzare gli indirizzi contenuti negli elenchi telefonici pubblici per inviare anche materiale informativo mediante posta cartacea, a meno che il destinatario non si sia iscritto al Registro pubblico delle opposizioni. Conclusioni Questa tornata di semplificazioni ha facilitato quelle piccole imprese (commercianti, artigiani) la cui attività non comporta il trattamento di dati oltre quelli strettamente necessari per gli adempimenti amministrativi e connessi. Crediamo che pochi siano i vantaggi per chi eroga servizi alla persona o per chi utilizzi sistemi informatici integrati nei quali non sia possibile separare trattamenti che possono usufruire delle semplificazione da quelli soggetti. 5