Decreto Sviluppo 2011: impatto Privacy

09/05/2011
di Valentina Frediani

È stato pubblicato il testo del Decreto Legge Sviluppo 2011 che ha introdotto alcune modifiche sostanziali alla normativa in materia di privacy, andando ad incidere sull’originario testo normativo del Decreto Legislativo n. 196/2003. Vediamo i punti salienti.

PrivacyCadono gi obblighi sui dati clienti-fornitori
All’articolo 5 del Codice (recante l’individuazione dell’ambito di applicazione della normativa) è aggiunto in fine  all’articolo il seguente comma: “3-bis. Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo – contabili, come definite all’articolo 34, comma 1-ter, non è soggetto all’applicazione del presente codice“. L’art. 34 comma 1-ter prescrive: “Ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo – contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali – intendendosi con tali i dati propedeutici alla conclusione contrattuale, escludendosi pertanto quelli relativi a preventivi o progetti non sfociati in rapporto contrattuale –  alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale – assistenziale, di salute, igiene e sicurezza sul lavoro”.  Dal tenore normativo pertanto, laddove i dati clienti/fornitori siano utilizzati solo esclusivamente per gli scopi sustanti, cadranno sia l’obbligo di rilasciare l’informativa ai sensi dell’art. 13 del Codice, sia gli  obblighi connessi alle misure di sicurezza. Attenzione però: questa forte esclusione sarà annullata laddove quei dati clienti – in particolare – siano oggetto di trattamento per finalità commerciali, pubblicitarie e  promozionali, che esulano dai fini amm.vo contabili citati dall’articolo suddetto. Tale aspetto ridimensiona non poco l’esclusione di applicazione del Codice, considerando che quasi la totalità delle aziende utilizza i dati dei clienti anche per attività di marketing, obbligando pertanto il titolare a rientrare nell’applicazione del Codice Privacy.  Sicuramente chi trarrà “beneficio” da questa novità saranno quei piccoli esercizi che effettuano trattamenti esclusivamente riconducibili alla tenuta contabile ed all’adempimento contrattuale. Resta pertanto applicabile il Codice a trattamenti quali quelli connessi al rapporto di lavoro ed  alla selezione del personale, al trattamento dati per fini promozionali, commerciali od oggetto di videosorveglianza, GPS, biometria, dati sanitari, indirizzi di per l’invio di newsletter, ecc.

Modifiche ai casi in cui può essere effettuato il trattamento senza consenso
In materia di esclusione dell’obbligo di richiesta del consenso preventivo per effettuare il trattamento, il Decreto sopprime il passaggio “anche in riferimento all’attività di gruppi bancari e di società controllate o collegate” avendosi così il seguente testo: “… con esclusione della diffusione, e´ necessario, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell´interessato …”; si aggiunge poi altra ipotesi di esclusione dell’obbligo di richiesta di consenso preventivo  per quanto  riguarda dati contenuti nei curricula, nei casi di cui all’articolo 13, comma 5-bis; così viene aggiunto anche il comma i-ter):  con esclusione della diffusione e fatto salvo quanto previsto dall’art. 130 del presente codice, riguarda la comunicazione di dati tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell’articolo 2359 del codice civile ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti, per le finalità amministrativo contabili, come definite all’articolo 34, comma 1-ter, e purché queste finalità siano previste espressamente con determinazione resa nota agli interessati all’atto dell’informativa di cui all’articolo 13”.

L’informativa in caso di ricezione di curricula
Altra novità-semplificazione (dettata più dalla logica che altro!!!)  riguarda l’abbattimento dell’obbligo di rilascio preventivo dell’informativa in caso di candidati all’assunzione, avendo previsto all’art. 13 comma 5, l’inserimento del comma 5 bis secondo cui:   “L’informativa di cui al comma 1 non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro. Al momento del primo contatto successivo all’invio del curriculum, il titolare è tenuto a fornire all’interessato, anche oralmente, una informativa breve contenente almeno gli elementi di cui al comma 1, lettere a), d) ed f)”.  Questa modifica era d’obbligo considerando che non può certo un datore di lavoro consegnare una informativa sempre a priori rispetto alla ricezione dei curricula dei candidati all’assunzione! Ci si stupisce semmai che una tale precisazione debba essere oggetto di un Decreto di Sviluppo!!!

Abolizione del DPS laddove si trattano solo dati contabili-amm.vi e dei dipendenti
Arriviamo poi ad un punto molto rilevante: l’abolizione dell’obbligo del documento programmatico di sicurezza per  quei titolari che trattano dati non sensibili o sensibili e giudiziari ma circoscritti a talune categorie. Questa semplificazione recepisce  quanto già previsto a suo tempo con apposito provvedimento di semplificazione dall’Autorità Garante per la protezione dei dati personali. Tale provvedimento prevedeva la semplificazione però in caso di trattamento di dati contabili-amm.vi e sensibili in materia di dipendenti, ora invece l’ambito di semplificazione si estende in caso di dati non sensibili. Se prima quindi non consentivano di rientrare  nella semplificazione i dati ad esempio inerenti i potenziali clienti, adesso si parla di tutti i dati personali non sensibili. Il testo nello specifico prevede: “1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell’allegato B). In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrativo – contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l’innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all’adozione delle misure minime di cui al comma 1”.  Da una prima lettura potremmo pertanto concludere che solo chi tratta dati sensibili e/o giudiziari non connessi ai dipendenti, dovrà continuare a procedere alla redazione del documento programmatico di sicurezza. Pertanto tutte le strutture operative in ambito sanitario, quelle che trattano dati per conto terzi, le aziende che trattano dati aggregati di consumatori finali (vedasi chi eroga acqua, gas, ecc.) dovranno comunque continuare a redigere ed aggiornare il DPS.

Comunicazioni indesiderate: ci si potrà opporre anche all’invio cartaceo
Una modifica non indifferente  riguarda anche la disciplina delle comunicazioni indesiderate, recentemente già intaccata dall’introduzione del registro delle opposizioni. L’art 130 del Codice, comma 3-bis  contemplerà anche l’ipotesi di possibilità di opposizione all’invio di posta cartacea. Ecco il testo dell’articolo così modificato:  “ In deroga a quanto previsto dall´articolo 129, il trattamento dei dati di cui all´articolo 129, comma 1, mediante l´impiego del telefono e della posta cartacea per le finalità di cui all´articolo 7, comma 4, lettera b), è consentito nei confronti di chi non abbia esercitato il diritto di opposizione, con modalità semplificate e anche in via telematica, mediante l´iscrizione della numerazione della quale è intestatario in un registro pubblico delle opposizioni”.  Questo passaggio comporta una modifica a forte impatto: se prima infatti si faceva riferimento solo alle comunicazioni telefoniche ora ci si potrà iscrivere al registro delle opposizioni anche per non ricevere posta cartacea. Sino ad oggi non era stata contemplata l’ipotesi sulla ratio della minor invasività della comunicazione cartacea rispetto alla telefonica, ma evidentemente nel Decreto si è ritenuto dover preservare anche le cassette postali dagli “attacchi commerciali”!!!

Alcune osservazioni finali
La semplificazione trae origine dalla volontà di  ridurre gli oneri derivanti dalla normativa vigente e gravanti in particolare sulle piccole e medie imprese ed in materia privacy si fonda essenzialmente nella volontà di applicare correttamente la normativa europea in materia di riservatezza dei dati personali che si concentra essenzialmente sulla tutela dei cittadini, riducendo l’attenzione alle ipotesi di rapporti tra imprese. Va decisamente accolta favorevolmente perché agevolerà quelle piccole realtà che vivevano la privacy con un fardello non indifferente. Taluni aspetti però lasciano perplessi: escludersi l’applicazione del Codice ai dati personali amm.vi-contabili significa far cadere l’obbligo delle misure di sicurezza minime, e questo  rappresenta certamente una forte regressione da parte del legislatore; concepibile far cadere DPS ed informative in queste ipotesi di gestione ordinaria, ma la sicurezza informatica non doveva risentirne. L’introduzione poi della possibilità di opporsi all’invio di posta cartacea sembra eccessiva e molto “castrante” in un momento di crisi economica. In caso poi di aziende che intendano applicare la 231/01, che proprio contempla la prevenzione dei reati di trattamento illecito dei dati, occorrerà verificare come potrà fasarsi con questa nuova formulazione. Chissà cosa avrà da dire in merito l’Autorità Garante che con la Guardia di Finanza nel 2010 ha effettuato non poche operazioni di controllo in materia anche di trattamento dati clienti-fornitori, con attuali pendenze di sanzioni che superano spesso i 10.000 euro …

Avv. Valentina Frediani
www.consulentelegaleinformatico.it

Riproduzione riservata ©

ALTRE NEWS

Norme anti-spam, lo stato dell’arte

Lo spam è tra noi Malgrado negli ultimi anni il Garante per la protezione dei dati personali abbia dedicato notevoli sforzi al contrasto allo spam,… Leggi Tutto

UPDATE: Comunicazione dati fatture: posticipata la scadenza del 16 (18) settembre

UPDATE: Un DPCM di prossima pubblicazione in Gazzetta Ufficiale, su proposta del Ministro dell’Economia e delle Finanze Pier Carlo Padoan, posticipa al 28 settembre 2017… Leggi Tutto

Privacy, l’ondata del Regolamento Europeo

Progettare per la privacy, dotarsi di figure responsabili della tutela dei dati, massima trasparenza in caso di violazione. Le disposizioni del nuovo testo europeo commentate… Leggi Tutto

AziendaSpeech & Eventi

COLIN & PARTNERS

CHI SIAMO

Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI

Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE

Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    * Informativa Privacy Autorizzo il trattamento dei miei dati personali secondo quanto stabilito dal regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR.

    * (campo obbligatorio)
    Questo sito è protetto da reCAPTCHA e vengono applicate l' Informativa sulla Privacy e i Termini e Condizioni di Google.