|
di Laura Rizzo
Le diverse misure previste dal
recente D.L. sviluppo, come convertito in legge, e
finalizzate alla riduzione degli oneri burocratici
gravanti sulle imprese, inclusi quelli concernenti la
normativa sulla privacy.
Con l'ok di Palazzo Madama il 7
luglio, è diventato legge il decreto legge 13 maggio
2011, n. 70 ("semestre europeo ¿ prime disposizioni
urgenti per l'economia"), che prevede varie misure
finalizzate allo sviluppo e al rilancio dell'economia
del nostro Paese, anche mediante la riduzione degli
oneri burocratici, inclusi quelli concernenti la
normativa sulla privacy.
Precisamente, l'art. 6 del detto
decreto prevede che, per ridurre gli oneri derivanti
dalla normativa vigente e gravanti in particolare sulle
piccole e medie imprese, si intendono apportare alcune
modifiche all'attuale disciplina in materia di
protezione dei dati personali, sulla base del seguente
particolare principio di disciplina: "in corretta
applicazione della normativa europea le comunicazioni
relative alla riservatezza dei dati personali sono
limitate alla tutela dei cittadini, conseguentemente non
trovano applicazione nei rapporti tra imprese."
Profilo così espresso che non
risulta di agevole comprensione e che tuttavia possiamo
meglio intendere se calibrato sul dettato delle
specifiche modifiche normative ideate dal Governo.
Notevole rilievo, anche
sistematico, assume l'integrazione apportata all'art. 5
del Codice Privacy (decreto legislativo 30 giugno 2003,
n. 196), con l'introduzione del seguente comma: il
3-bis, secondo il quale:
"Il trattamento dei dati personali
relativi a persone giuridiche, imprese, enti o
associazioni effettuato nell'ambito di rapporti
intercorrenti esclusivamente tra i medesimi soggetti per
le finalità amministrativo - contabili, come definite
all'articolo 34, comma 1-ter (del medesimo decreto), non
è soggetto all'applicazione del presente codice."
È importante allora subito chiarire
quali siano i trattamenti di dati personali per finalità
"amministrativo ¿ contabili" richieste dal novello
disegno di legge ai fini dell'esenzione dal Codice
Privacy.
Ebbene s'intendono "quelli connessi
allo svolgimento delle attività di natura organizzativa,
amministrativa, finanziaria e contabile, a prescindere
dalla natura dei dati trattati."
In particolare, perseguono tali
finalità le attività organizzative interne funzionali:
- all'adempimento di obblighi
contrattuali e precontrattuali,
-alla gestione del rapporto di
lavoro in tutte le sue fasi,
- alla tenuta della contabilità,
- all'applicazione delle norme in
materia fiscale, sindacale, previdenziale -
assistenziale, di salute, igiene e sicurezza sul lavoro.
È evidente la rilevanza della detta
norma, per la quale i rapporti d'impresa (collettive o
individuali, persone giuridiche o meno) di carattere
ruotinario verrebbero sottratti al campo di applicazione
del Codice Privacy e quindi al potere di intervento
(inibitorio, prescrittivo, ispettivo, sanzionatorio) del
Garante per la protezione dei dati personali.
CV degli aspiranti al posto di
lavoro: informativa e consenso per la privacy
Inoltre, viene inciso anche il
tradizionale disposto dell'art. 13 del Codice Privacy,
attribuendo particolare attenzione alla delicata
questione del trattamento dei dati del curriculum vitae
dei candidati a un posto di lavoro.
Infatti, integrando la detta norma
con il comma 5-bis, si stabilisce che l'informativa per
il trattamento dei dati personali non è dovuta in caso
di ricezione di curricula spontaneamente trasmessi dagli
interessati ai fini dell'eventuale instaurazione di un
rapporto di lavoro.
Tuttavia, al contempo, si prevede
anche che, al momento del primo - eventuale - contatto
successivo all'invio del curriculum, il titolare è
tenuto a fornire all'interessato, anche solo oralmente,
una informativa breve, contenente almeno gli elementi di
cui al comma 1, lettere a), d) ed f).
L'informativa breve per i CV
Il Governo dunque pare intenzionato
a fissare i c.d. requisiti minimi e indefettibili,
dell'informativa abbreviata da fornire, nei seguenti:
a) le finalità e le modalità del
trattamento cui sono destinati i dati;
d) i soggetti o le categorie di
soggetti ai quali i dati personali possono essere
comunicati o che possono venirne a conoscenza in qualità
di responsabili o incaricati, e l'ambito di diffusione
dei dati medesimi;
f) gli estremi identificativi del
titolare del trattamento e, se designati, del
rappresentante nel territorio dello Stato ai sensi
dell'articolo 5 del Codice, e del responsabile.
L'estensione delle cause di
esclusione del consenso per il trattamento dati
Il disegno di legge coinvolge anche
l'art. 24 del Codice Privacy relativo ai casi nei quali
può essere effettuato il trattamento senza il consenso
dell'interessato, prevedendo un'altra causa di
esclusione del consenso, mediante la lettera i-bis),
riguardo ai dati contenuti nei curricula, se - come si è
detto nell'ipotesi sopra introdotta a proposito
dell'informativa breve - essi sono stati inviati alle
imprese spontaneamente dai candidati al posto di lavoro.
Introducendo la lettera i-ter), il
disegno governativo poi introduce un'altra ipotesi di
esonero del consenso, ancor più rilevante e innovativa
rispetto alla tradizione del Codice, relativa alla
comunicazione di dati tra società, enti o associazioni
con società controllanti, controllate o collegate ai
sensi dell'articolo 2359 del codice civile ovvero con
società sottoposte a comune controllo, nonché tra
consorzi, reti di imprese e raggruppamenti e
associazioni temporanei di imprese con i soggetti ad
essi aderenti
Ciò, però solo per le finalità
amministrativo contabili, definite come sopra, e purché
queste finalità siano previste espressamente con
determinazione resa nota agli interessati all'atto
dell'informativa di cui all'articolo 13. Per espressa
previsione, continuano però ad aver bisogno del consenso
dell'interessato la diffusione dei dati e di consenso
previo, specifico, informato e documentato l'invio di
comunicazioni promozionali di tipo automatizzato (fax,
e-mail, sms¿..) ex art. 130 del Codice Privacy.
La sostituzione del DPS con
l'obbligo di autocertificazione
Inoltre, si innova la normativa sul
DPS, prevedendo che, per i soggetti che trattano
soltanto dati personali non sensibili e che trattano
come unici dati sensibili e giudiziari quelli relativi
ai propri dipendenti e collaboratori, la tenuta del DPS
è sostituita dall'obbligo di autocertificazione, resa
dal titolare del trattamento ai sensi dell'articolo 47
del d.p.r. n. 445/00, di trattare soltanto tali dati in
osservanza delle misure minime di sicurezza previste dal
Codice Privacy e dal disciplinare tecnico di cui
all'allegato B) del Codice.
In relazione a tali trattamenti,
nonché a trattamenti comunque effettuati per correnti
finalità amministrativo - contabili, in particolare
presso piccole e medie imprese, liberi professionisti e
artigiani, si prevede che il Garante, con obbligo di
richiedere previamente un parere ad alcuni Ministeri,
individui con proprio provvedimento modalità
semplificate di applicazione del disciplinare tecnico
dell'allegato B) riguardo alle misure minime. Che ¿ va
evidenziato ¿ sono quelle la cui violazione è rilevante
per l'applicazione della temibile sanzione penale del
trattamento illecito di dati (v. art. 167 del Codice)!
Assimilazione del direct marketing
al telemarketing con operatore fisico?
È importante sottolineare anche la
modifica concernente il c.d. "direct marketing", ossia
il marketing postale.
In particolare, all'articolo 130,
comma 3-bis, dopo le parole: "mediante l'impiego del
telefono" sono inserite le seguenti: "e della posta
cartacea" e dopo le parole: "l'iscrizione della
numerazione della quale è intestatario" sono inserite le
seguenti: "e degli altri dati personali di cui
all'articolo 129, comma 1".
Quindi, prima facie, parrebbe che
si voglia estendere anche al marketing cartaceo tanto la
disciplina dell'opt-out (ossia del diritto di
opposizione dell'interessato solo successivamente al
trattamento dati) in luogo di quella dell'opt-in
(necessità del consenso previo e informato
dell'interessato al trattamento dati), introdotta nel
2009 già per il telemarketing mediante operatore fisico,
quanto il connesso sistema del registro Robinson.
In vero, tale tipo di telemarketing
e il direct marketing paiono fra loro - logicamente e
anche giuridicamente ¿ accostabili ! Si pongono infatti,
quasi sempre, se non reiterate, quali tipo di lesione
della sfera dei dati personali altrui meno invasive
dello spam di tipo automatizzato, come quello realizzato
mediante e-mail e soprattutto fax.
Si segnala che, coerentemente con
quanto su esposto, l'emendamento Dis. 1.1, intervenuto
in sede di conversione in legge del decreto legge n.70,
ha integrato il disposto l'articolo 67-sexies decies del
Codice del Consumo, facendo espressamente salva la
disciplina dettata dal suddetto comma 3-bis
dell'articolo 130 del Codice per i trattamenti dei dati
inclusi negli elenchi di abbonati a disposizione del
pubblico.
Semplificazioni imposte alle PA a
vantaggio delle imprese
Infine, si rileva che l'articolo 6
("Ulteriori riduzione e semplificazioni degli
adempimenti burocratici"), sempre nell'ottica di ridurre
gli oneri normativi gravanti su piccole e medie imprese,
prevede una serie di modificazioni, tra cui rilevano
quelle dirette alle pubbliche amministrazioni, e miranti
tanto alla trasparenza dell'azione amministrativa quanto
alla riduzione degli oneri informativi a carico di
cittadini e imprese.
Così, ad esempio, le pubbliche
amministrazioni dovranno pubblicare sui propri siti
istituzionali, per ciascun procedimento amministrativo
ad istanza di parte rientrante nelle proprie competenze,
l'elenco degli atti e documenti che l'istante ha l'onere
di produrre a corredo dell'istanza.
Il mancato adempimento, oltre a
costituire una causa di nullità del provvedimento di
diniego, sarà valutato ai fini dell'attribuzione della
retribuzione di risultato ai dirigenti responsabili. |
