Semplificazioni importanti in ambito di privacy per le imprese

Facebook
Twitter
LinkedIn
Nel Consiglio dei Ministri n. 138 del 5 Maggio 2011 è stato approvato il Decreto Legge n. 70 (pubblicato in G.U. il 13 Maggio) recante misure per lo sviluppo e il rilancio dell’economia. Fra le misure previste, l’art. 6 prevede alcune modifiche al Codice della Privacy (D.Lgs. 196/2003) che semplificheranno notevolmente la gestione della privacy per alcune tipologie di imprese.

L’art. 6 c. 2 esordisce con un’esclusione importante, inserendo all’art. 5 del Codice della Privacy (che parla dell’ambito di applicazione del Codice) il seguente comma:

“3-bis. Il trattamento dei dati personali relativi a  persone giuridiche, imprese, enti o associazioni  effettuato  nell’ambito  di rapporti intercorrenti esclusivamente tra i medesimi soggetti per  le finalità amministrativo – contabili, come definite all’articolo  34, comma 1-ter, non e’ soggetto all’applicazione del presente codice.”

Il senso è chiaro: in un rapporto di carattere amministrativo contabile (le cui finalità prevedono “…le  attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale – assistenziale, di salute, igiene e sicurezza sul lavoro“) il trattamento dei dati non è soggetto alla normativa sulla privacy, il che significa che non è più necessario gestire l’onere dell’informativa e del consenso relativi al trattamento delle informazioni per tali attività di back office. Tale semplificazione è consentita indipendentemente dai dati trattati: infatti, all’art. 34 del Codice viene introdotto il punto 1-ter in cui si definiscono le attività amministrativo contabili “a prescindere dalla natura dei dati trattati”.

Un altro elemento importante è relativo all’inserimento all’art. 24 del Codice (che parla dei casi in cui il consenso non è necessario per il trattamento dei dati), nel comma 1, del punto i-ter, che recita:

“i-ter) con esclusione della diffusione e fatto  salvo  quanto previsto  dall’articolo 130 del  presente codice, riguarda la comunicazione di dati tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell’articolo 2359 del codice civile ovvero con società  sottoposte a  comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad  essi aderenti, per le finalità amministrativo contabili, come definite all’articolo 34, comma 1-ter, e purché queste finalità siano previste espressamente con determinazione resa   nota agli interessati all’atto dell’informativa di cui all’articolo 13.”;

Anche in questo caso le conseguenze sono importanti: il titolare non deve più chiedere il consenso all’interessato per comunicare i suoi dati alle società controllate, controllanti o collegate (chi ha in mano il classico contratto di un importante istituto bancario potrà vedere che fra le numerose richieste di consenso questa voce compare sempre), agevolando l’interscambio di dati fra imprese legate a livello societario. Resta comunque l’obbligo di riportare tale trattamento all’interno dell’informativa.

Un’altra semplificazione riguarda il trattamento dei curricula inviato spontaneamente dai candidati: viene introdotto il comma5-bis all’art. 13, che recita:

“5-bis. L’informativa di cui al comma 1 non e’ dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro. Al momento del primo contatto successivo all’invio  del  curriculum, il titolare e’ tenuto a fornire all’interessato, anche oralmente, una informativa breve contenente almeno gli elementi di cui al comma 1, lettere a), d) ed f).”

Quindi, non occorre il consenso preventivo al trattamento dei dati contenuti nei curricula: al primo contatto sarà sufficiente fornire un’informativa all’interessato. Il consenso preventivo non è necessario neanche se il CV contiene dati sensibili, grazie all’aggiunta del relativo punto b-bis all’art. 26 c. 3.

Ma la vera innovazione si ha all’articolo 34, in cui il comma 1-bis viene rivisto con un’importante conseguenza:

“1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri  dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico  sulla sicurezza è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000,  n.445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell’allegato B). In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrativo – contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il  Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica  amministrazione e l’innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del  disciplinare tecnico contenuto nel citato allegato B) in ordine all’adozione delle misure minime di cui al comma 1.”

Viene riproposta in maniera più strutturata una semplificazione già tentata qualche anno fa, che esonera quei soggetti che trattano solo dati personali di soggetti terzi (oltre che dati sensibili dei propri collaboratori) dal redigere il famigerato DPS, obbligandoli comunque ad autocertificare l’osservanza alle misure minime di sicurezza previste nel Codice della Privacy. L’esonero non si focalizza sulla dimensione dell’azienda, bensì sul tipo di dati che tratta: per esempio, l’azienda individuale che gestisce dati sensibili di soggetti terzi è obbligata alla redazione del DPS, mentre invece è esonerata la grande società che gestisce solo dati personali. Naturalmente è necessario effettuare un’attenta analisi dei dati che si gestiscono, onde evitare di sottovalutare la loro criticità (nel dubbio, è consigliabile continuare a redigere il DPS). Si prevedono inoltre iniziative successive per introdurre delle modalità semplificate per l’applicazione delle misure minime, che verranno aggiornate periodicamente (in questo caso, la semplificazione guarderà più alle dimensioni delle aziende che ai dati trattati).

C’è comunque un dettaglio non trascurabile da considerare: la gestione dei curricula. Sebbene, come visto precedentemente, non è necessario chiedere il consenso e l’informativa può essere fornita in un secondo momento, se i CV contengono dati sensibili (es. l’adesione a un partito politico) l’azienda si ritrova involontariamente a gestire dei dati che non consentono di sottrarsi dalla redazione del DPS (infatti i candidati non hanno un rapporto di dipendenza o collaborazione con l’azienda). Se si vuole fruire di questa semplificazione, quindi, è importante prevedere un meccanismo di segnalazione preventiva che avverta i candidati che non saranno trattati i curricula contenenti dati sensibili.

Una consuetudine vuole che il DPS venga allegato al bilancio di esercizio. In realtà il punto 26 dell’All. B del Codice della privacy recita:

“26. Il titolare riferisce, nella relazione accompagnatoria del bilancio   d’esercizio, se  dovuta, dell’avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza”.

Allegare il DPS al bilancio quindi non è un esplicito obbligo di legge ma un’interpretazione estensiva della norma, effettuata per ragioni cautelative e di trasparenza. Pertanto, nel caso l’azienda si trovi nelle condizioni di non dover più redigere il DPS sarà sufficiente dichiararne i motivi nell’apposita relazione accompagnatoria al bilancio, eventualmente allegando copia dell’autocertificazione redatta dal titolare.

Infine viene adeguato alla nuova regolamentazione sul telemarketing anche l’invio di posta cartacea, attraverso la modifica dell’art. 130 c. 3-bis del Codice della Privacy. In sostanza, si estende l’opzione opt-out alle comunicazioni postali, consentendo l’invio di materiale promozionale a tutti coloro che non manifestano espresso diniego tramite l’iscrizione al registro delle opposizioni gestito dalla Fondazione Ugo Bordoni.

A partire della pubblicazione in Gazzetta Ufficiale, il Parlamento ha 60 giorni di tempo per convertire in legge il decreto legge.

Segui SI.net anche su Twitter e su Facebook

Per informazioni sui servizi offerti da SI.net in merito alla tutela dei dati personali scrivi a sinet@blog.sinetinformatica.it o telefona allo 0331.576848.