|
È stato pubblicato il testo del
Decreto Legge Sviluppo 2011 che ha introdotto alcune
modifiche sostanziali alla normativa in materia di
privacy, andando ad incidere sull’originario testo
normativo del Decreto Legislativo n. 196/2003. Vediamo i
punti salienti.
Cadono gi obblighi sui dati
clienti-fornitori
All’articolo 5 del Codice (recante
l’individuazione dell’ambito di applicazione della
normativa) è aggiunto in fine all’articolo il seguente
comma: "3-bis. Il trattamento dei dati personali
relativi a persone giuridiche, imprese, enti o
associazioni effettuato nell’ambito di rapporti
intercorrenti esclusivamente tra i medesimi soggetti per
le finalità amministrativo - contabili, come definite
all’articolo 34, comma 1-ter, non è soggetto
all’applicazione del presente codice." L’art. 34 comma
1-ter prescrive: “Ai fini dell’applicazione delle
disposizioni in materia di protezione dei dati
personali, i trattamenti effettuati per finalità
amministrativo - contabili sono quelli connessi allo
svolgimento delle attività di natura organizzativa,
amministrativa, finanziaria e contabile, a prescindere
dalla natura dei dati trattati. In particolare,
perseguono tali finalità le attività organizzative
interne, quelle funzionali all’adempimento di obblighi
contrattuali e precontrattuali – intendendosi con tali i
dati propedeutici alla conclusione contrattuale,
escludendosi pertanto quelli relativi a preventivi o
progetti non sfociati in rapporto contrattuale - alla
gestione del rapporto di lavoro in tutte le sue fasi,
alla tenuta della contabilità e all’applicazione delle
norme in materia fiscale, sindacale, previdenziale -
assistenziale, di salute, igiene e sicurezza sul
lavoro.” Dal tenore normativo pertanto, laddove i dati
clienti/fornitori siano utilizzati solo esclusivamente
per gli scopi sustanti, cadranno sia l’obbligo di
rilasciare l’informativa ai sensi dell’art. 13 del
Codice, sia gli obblighi connessi alle misure di
sicurezza. Attenzione però: questa forte esclusione sarà
annullata laddove quei dati clienti – in particolare –
siano oggetto di trattamento per finalità commerciali,
pubblicitarie e promozionali, che esulano dai fini
amm.vo contabili citati dall’articolo suddetto. Tale
aspetto ridimensiona non poco l’esclusione di
applicazione del Codice, considerando che quasi la
totalità delle aziende utilizza i dati dei clienti anche
per attività di marketing, obbligando pertanto il
titolare a rientrare nell’applicazione del Codice
Privacy. Sicuramente chi trarrà “beneficio” da questa
novità saranno quei piccoli esercizi che effettuano
trattamenti esclusivamente riconducibili alla tenuta
contabile ed all’adempimento contrattuale. Resta
pertanto applicabile il Codice a trattamenti quali
quelli connessi al rapporto di lavoro ed alla selezione
del personale, al trattamento dati per fini
promozionali, commerciali od oggetto di
videosorveglianza, GPS, biometria, dati sanitari,
indirizzi di per l’invio di newsletter, ecc.
Modifiche ai casi in cui può essere
effettuato il trattamento senza consenso
In materia di esclusione
dell’obbligo di richiesta del consenso preventivo per
effettuare il trattamento, il Decreto sopprime il
passaggio “anche in riferimento all’attività di gruppi
bancari e di società controllate o collegate” avendosi
così il seguente testo: “… con esclusione della
diffusione, e' necessario, nei casi individuati dal
Garante sulla base dei principi sanciti dalla legge, per
perseguire un legittimo interesse del titolare o di un
terzo destinatario dei dati qualora non prevalgano i
diritti e le libertà fondamentali, la dignità o un
legittimo interesse dell'interessato …”; si aggiunge poi
altra ipotesi di esclusione dell’obbligo di richiesta di
consenso preventivo per quanto riguarda dati contenuti
nei curricula, nei casi di cui all’articolo 13, comma
5-bis; così viene aggiunto anche il comma i-ter): con
esclusione della diffusione e fatto salvo quanto
previsto dall’art. 130 del presente codice, riguarda la
comunicazione di dati tra società, enti o associazioni
con società controllanti, controllate o collegate ai
sensi dell’articolo 2359 del codice civile ovvero con
società sottoposte a comune controllo, nonché tra
consorzi, reti di imprese e raggruppamenti e
associazioni temporanei di imprese con i soggetti ad
essi aderenti, per le finalità amministrativo contabili,
come definite all’articolo 34, comma 1-ter, e purché
queste finalità siano previste espressamente con
determinazione resa nota agli interessati all’atto
dell’informativa di cui all’articolo 13.”
L’informativa in caso di ricezione
di curricula
Altra novità-semplificazione
(dettata più dalla logica che altro!!!) riguarda
l’abbattimento dell’obbligo di rilascio preventivo
dell’informativa in caso di candidati all’assunzione,
avendo previsto all’art. 13 comma 5, l’inserimento del
comma 5 bis secondo cui: “L’informativa di cui al comma
1 non è dovuta in caso di ricezione di curricula
spontaneamente trasmessi dagli interessati ai fini
dell’eventuale instaurazione di un rapporto di lavoro.
Al momento del primo contatto successivo all’invio del
curriculum, il titolare è tenuto a fornire
all’interessato, anche oralmente, una informativa breve
contenente almeno gli elementi di cui al comma 1,
lettere a), d) ed f).” Questa modifica era d’obbligo
considerando che non può certo un datore di lavoro
consegnare una informativa sempre a priori rispetto alla
ricezione dei curricula dei candidati all’assunzione! Ci
si stupisce semmai che una tale precisazione debba
essere oggetto di un Decreto di Sviluppo!!!
Abolizione del DPS laddove si
trattano solo dati contabili-amm.vi e dei dipendenti
Arriviamo poi ad un punto molto
rilevante: l’abolizione dell’obbligo del documento
programmatico di sicurezza per quei titolari che
trattano dati non sensibili o sensibili e giudiziari ma
circoscritti a talune categorie. Questa semplificazione
recepisce quanto già previsto a suo tempo con apposito
provvedimento di semplificazione dall’Autorità Garante
per la protezione dei dati personali. Tale provvedimento
prevedeva la semplificazione però in caso di trattamento
di dati contabili-amm.vi e sensibili in materia di
dipendenti, ora invece l’ambito di semplificazione si
estende in caso di dati non sensibili. Se prima quindi
non consentivano di rientrare nella semplificazione i
dati ad esempio inerenti i potenziali clienti, adesso si
parla di tutti i dati personali non sensibili. Il testo
nello specifico prevede: “1-bis. Per i soggetti che
trattano soltanto dati personali non sensibili e che
trattano come unici dati sensibili e giudiziari quelli
relativi ai propri dipendenti e collaboratori, anche se
extracomunitari, compresi quelli relativi al coniuge e
ai parenti, la tenuta di un aggiornato documento
programmatico sulla sicurezza è sostituita dall’obbligo
di autocertificazione, resa dal titolare del trattamento
ai sensi dell’articolo 47 del testo unico di cui al
decreto del Presidente della Repubblica 28 dicembre
2000, n. 445, di trattare soltanto tali dati in
osservanza delle misure minime di sicurezza previste dal
presente codice e dal disciplinare tecnico contenuto
nell’allegato B). In relazione a tali trattamenti,
nonché a trattamenti comunque effettuati per correnti
finalità amministrativo – contabili, in particolare
presso piccole e medie imprese, liberi professionisti e
artigiani, il Garante, sentiti il Ministro per la
semplificazione normativa e il Ministro per la pubblica
amministrazione e l’innovazione, individua con proprio
provvedimento, da aggiornare periodicamente, modalità
semplificate di applicazione del disciplinare tecnico
contenuto nel citato allegato B) in ordine all’adozione
delle misure minime di cui al comma 1”. Da una prima
lettura potremmo pertanto concludere che solo chi tratta
dati sensibili e/o giudiziari non connessi ai
dipendenti, dovrà continuare a procedere alla redazione
del documento programmatico di sicurezza. Pertanto tutte
le strutture operative in ambito sanitario, quelle che
trattano dati per conto terzi, le aziende che trattano
dati aggregati di consumatori finali (vedasi chi eroga
acqua, gas, ecc.) dovranno comunque continuare a
redigere ed aggiornare il DPS.
Comunicazioni indesiderate: ci si
potrà opporre anche all’invio cartaceo
Una modifica non indifferente
riguarda anche la disciplina delle comunicazioni
indesiderate, recentemente già intaccata
dall’introduzione del registro delle opposizioni. L’art
130 del Codice, comma 3-bis contemplerà anche l’ipotesi
di possibilità di opposizione all’invio di posta
cartacea. Ecco il testo dell’articolo così modificato: “
In deroga a quanto previsto dall'articolo 129, il
trattamento dei dati di cui all'articolo 129, comma 1,
mediante l'impiego del telefono e della posta cartacea
per le finalità di cui all'articolo 7, comma 4, lettera
b), è consentito nei confronti di chi non abbia
esercitato il diritto di opposizione, con modalità
semplificate e anche in via telematica, mediante
l'iscrizione della numerazione della quale è
intestatario in un registro pubblico delle opposizioni.”
Questo passaggio comporta una modifica a forte impatto:
se prima infatti si faceva riferimento solo alle
comunicazioni telefoniche ora ci si potrà iscrivere al
registro delle opposizione anche per non ricevere posta
cartacea. Sino ad oggi non era stata contemplata
l’ipotesi sulla ratio della minor invasività della
comunicazione cartacea rispetto alla telefonica, ma
evidentemente nel Decreto si è ritenuto dover preservare
anche le cassette postali dagli “attacchi
commerciali”!!!
Alcune osservazioni finali
La semplificazione trae origine
dalla volontà di ridurre gli oneri derivanti dalla
normativa vigente e gravanti in particolare sulle
piccole e medie imprese ed in materia privacy si fonda
essenzialmente nella volontà di applicare correttamente
la normativa europea in materia di riservatezza dei dati
personali che si concentra essenzialmente sulla tutela
dei cittadini, riducendo l’attenzione alle ipotesi di
rapporti tra imprese. Va decisamente accolta
favorevolmente perché agevolerà quelle piccole realtà
che vivevano la privacy con un fardello non
indifferente. Taluni aspetti però lasciano perplessi:
escludersi l’applicazione del Codice ai dati personali
amm.vi-contabili significa far cadere l’obbligo delle
misure di sicurezza minime, e questo rappresenta
certamente una forte regressione da parte del
legislatore; concepibile far cadere DPS ed informative
in queste ipotesi di gestione ordinaria, ma la sicurezza
informatica non doveva risentirne. L’introduzione poi
della possibilità di opporsi all’invio di posta cartacea
sembra eccessiva e molto “castrante” in un momento di
crisi economica. In caso poi di aziende che intendano
applicare la 231/01, che proprio contempla la
prevenzione dei reati di trattamento illecito dei dati,
occorrerà verificare come potrà fasarsi con questa nuova
formulazione. Chissà cosa avrà da dire in merito
l’Autorità Garante che con la Guardia di Finanza nel
2010 ha effettuato non poche operazioni di controllo in
materia anche di trattamento dati clienti-fornitori, con
attuali pendenze di sanzioni che superano spesso i
10.000 euro … |
