È stato pubblicato il testo del Decreto Legge Sviluppo 2011 che ha introdotto alcune modifiche sostanziali alla normativa in materia di privacy, andando ad incidere sull’originario testo normativo del Decreto Legislativo n. 196/2003. Vediamo i punti salienti.
Cadono gi obblighi sui dati clienti-fornitori
All’articolo 5 del Codice (recante l’individuazione dell’ambito di applicazione della normativa) è aggiunto in fine all’articolo il seguente comma: “3-bis. Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo – contabili, come definite all’articolo 34, comma 1-ter, non è soggetto all’applicazione del presente codice.” L’art. 34 comma 1-ter prescrive: “Ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo – contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali – intendendosi con tali i dati propedeutici alla conclusione contrattuale, escludendosi pertanto quelli relativi a preventivi o progetti non sfociati in rapporto contrattuale – alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale – assistenziale, di salute, igiene e sicurezza sul lavoro.” Dal tenore normativo pertanto, laddove i dati clienti/fornitori siano utilizzati solo esclusivamente per gli scopi sustanti, cadranno sia l’obbligo di rilasciare l’informativa ai sensi dell’art. 13 del Codice, sia gli obblighi connessi alle misure di sicurezza. Attenzione però: questa forte esclusione sarà annullata laddove quei dati clienti – in particolare – siano oggetto di trattamento per finalità commerciali, pubblicitarie e promozionali, che esulano dai fini amm.vo contabili citati dall’articolo suddetto. Tale aspetto ridimensiona non poco l’esclusione di applicazione del Codice, considerando che quasi la totalità delle aziende utilizza i dati dei clienti anche per attività di marketing, obbligando pertanto il titolare a rientrare nell’applicazione del Codice Privacy. Sicuramente chi trarrà “beneficio” da questa novità saranno quei piccoli esercizi che effettuano trattamenti esclusivamente riconducibili alla tenuta contabile ed all’adempimento contrattuale. Resta pertanto applicabile il Codice a trattamenti quali quelli connessi al rapporto di lavoro ed alla selezione del personale, al trattamento dati per fini promozionali, commerciali od oggetto di videosorveglianza, GPS, biometria, dati sanitari, indirizzi di per l’invio di newsletter, ecc.
Modifiche ai casi in cui può essere effettuato il trattamento senza consenso
In materia di esclusione dell’obbligo di richiesta del consenso preventivo per effettuare il trattamento, il Decreto sopprime il passaggio “anche in riferimento all’attività di gruppi bancari e di società controllate o collegate” avendosi così il seguente testo: “… con esclusione della diffusione, e’ necessario, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell’interessato …”; si aggiunge poi altra ipotesi di esclusione dell’obbligo di richiesta di consenso preventivo per quanto riguarda dati contenuti nei curricula, nei casi di cui all’articolo 13, comma 5-bis; così viene aggiunto anche il comma i-ter): con esclusione della diffusione e fatto salvo quanto previsto dall’art. 130 del presente codice, riguarda la comunicazione di dati tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell’articolo 2359 del codice civile ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti, per le finalità amministrativo contabili, come definite all’articolo 34, comma 1-ter, e purché queste finalità siano previste espressamente con determinazione resa nota agli interessati all’atto dell’informativa di cui all’articolo 13.”
L’informativa in caso di ricezione di curricula
Altra novità-semplificazione (dettata più dalla logica che altro!!!) riguarda l’abbattimento dell’obbligo di rilascio preventivo dell’informativa in caso di candidati all’assunzione, avendo previsto all’art. 13 comma 5, l’inserimento del comma 5 bis secondo cui: “L’informativa di cui al comma 1 non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro. Al momento del primo contatto successivo all’invio del curriculum, il titolare è tenuto a fornire all’interessato, anche oralmente, una informativa breve contenente almeno gli elementi di cui al comma 1, lettere a), d) ed f).” Questa modifica era d’obbligo considerando che non può certo un datore di lavoro consegnare una informativa sempre a priori rispetto alla ricezione dei curricula dei candidati all’assunzione! Ci si stupisce semmai che una tale precisazione debba essere oggetto di un Decreto di Sviluppo!!!
Abolizione del DPS laddove si trattano solo dati contabili-amm.vi e dei dipendenti
Arriviamo poi ad un punto molto rilevante: l’abolizione dell’obbligo del documento programmatico di sicurezza per quei titolari che trattano dati non sensibili o sensibili e giudiziari ma circoscritti a talune categorie. Questa semplificazione recepisce quanto già previsto a suo tempo con apposito provvedimento di semplificazione dall’Autorità Garante per la protezione dei dati personali. Tale provvedimento prevedeva la semplificazione però in caso di trattamento di dati contabili-amm.vi e sensibili in materia di dipendenti, ora invece l’ambito di semplificazione si estende in caso di dati non sensibili. Se prima quindi non consentivano di rientrare nella semplificazione i dati ad esempio inerenti i potenziali clienti, adesso si parla di tutti i dati personali non sensibili. Il testo nello specifico prevede: “1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell’allegato B). In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrativo – contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l’innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all’adozione delle misure minime di cui al comma 1”. Da una prima lettura potremmo pertanto concludere che solo chi tratta dati sensibili e/o giudiziari non connessi ai dipendenti, dovrà continuare a procedere alla redazione del documento programmatico di sicurezza. Pertanto tutte le strutture operative in ambito sanitario, quelle che trattano dati per conto terzi, le aziende che trattano dati aggregati di consumatori finali (vedasi chi eroga acqua, gas, ecc.) dovranno comunque continuare a redigere ed aggiornare il DPS.
Comunicazioni indesiderate: ci si potrà opporre anche all’invio cartaceo
Una modifica non indifferente riguarda anche la disciplina delle comunicazioni indesiderate, recentemente già intaccata dall’introduzione del registro delle opposizioni. L’art 130 del Codice, comma 3-bis contemplerà anche l’ipotesi di possibilità di opposizione all’invio di posta cartacea. Ecco il testo dell’articolo così modificato: “ In deroga a quanto previsto dall’articolo 129, il trattamento dei dati di cui all’articolo 129, comma 1, mediante l’impiego del telefono e della posta cartacea per le finalità di cui all’articolo 7, comma 4, lettera b), è consentito nei confronti di chi non abbia esercitato il diritto di opposizione, con modalità semplificate e anche in via telematica, mediante l’iscrizione della numerazione della quale è intestatario in un registro pubblico delle opposizioni.” Questo passaggio comporta una modifica a forte impatto: se prima infatti si faceva riferimento solo alle comunicazioni telefoniche ora ci si potrà iscrivere al registro delle opposizione anche per non ricevere posta cartacea. Sino ad oggi non era stata contemplata l’ipotesi sulla ratio della minor invasività della comunicazione cartacea rispetto alla telefonica, ma evidentemente nel Decreto si è ritenuto dover preservare anche le cassette postali dagli “attacchi commerciali”!!!
Alcune osservazioni finali
La semplificazione trae origine dalla volontà di ridurre gli oneri derivanti dalla normativa vigente e gravanti in particolare sulle piccole e medie imprese ed in materia privacy si fonda essenzialmente nella volontà di applicare correttamente la normativa europea in materia di riservatezza dei dati personali che si concentra essenzialmente sulla tutela dei cittadini, riducendo l’attenzione alle ipotesi di rapporti tra imprese. Va decisamente accolta favorevolmente perché agevolerà quelle piccole realtà che vivevano la privacy con un fardello non indifferente. Taluni aspetti però lasciano perplessi: escludersi l’applicazione del Codice ai dati personali amm.vi-contabili significa far cadere l’obbligo delle misure di sicurezza minime, e questo rappresenta certamente una forte regressione da parte del legislatore; concepibile far cadere DPS ed informative in queste ipotesi di gestione ordinaria, ma la sicurezza informatica non doveva risentirne. L’introduzione poi della possibilità di opporsi all’invio di posta cartacea sembra eccessiva e molto “castrante” in un momento di crisi economica. In caso poi di aziende che intendano applicare la 231/01, che proprio contempla la prevenzione dei reati di trattamento illecito dei dati, occorrerà verificare come potrà fasarsi con questa nuova formulazione. Chissà cosa avrà da dire in merito l’Autorità Garante che con la Guardia di Finanza nel 2010 ha effettuato non poche operazioni di controllo in materia anche di trattamento dati clienti-fornitori, con attuali pendenze di sanzioni che superano spesso i 10.000 euro …
Scrivi un commento
Accedi per poter inserire un commento