|
Lo
scorso 5 maggio il Consiglio dei Ministri ha approvato
uno schema di decreto legge (in attesa di pubblicazione
sulla Gazzetta Ufficiale) recante una serie di misure
urgenti per l’economia (il cd. “decreto per lo
sviluppo”) che contiene alcune importanti novità per
quanto riguarda l’applicazione della legge sulla privacy
nelle imprese.
L’art. 6 del D.L. 5 maggio 2011 n. 138, rubricato
“Ulteriori riduzioni e semplificazioni degli adempimenti
burocratici”, nei suoi primi due commi contiene alcune
importanti novità per le imprese in materia di
trattamento dei dati personali.
Innanzitutto il comma 1, lettera a) dell’art. 6
ridimensiona fortemente l’ambito di applicazione del
Codice della privacy stabilendo che: “in corretta
applicazione della normativa europea le comunicazioni
relative alla riservatezza dei dati personali sono
limitate alla tutela dei cittadini, conseguentemente non
trovano applicazione nei rapporti tra imprese”.
Il
comma 2, dell’art. 6 del decreto, invece, introduce
importanti modifiche ad alcuni articoli del D.Lgs. n.
196/03. Vediamole brevemente nel dettaglio.
Per
quanto riguarda l’ambito di applicazione del Codice, il
nuovo comma 3-bis aggiunto all’art. 5 prevede che: “Il
trattamento dei dati personali relativi a persone
giuridiche, imprese, enti o associazioni effettuato
nell’ambito di rapporti intercorrenti esclusivamente tra
i medesimi soggetti per le finalità
amministrativo-contabili, come definite all’articolo 34,
comma 1-ter, non è soggetto all’applicazione del
presente codice.” Quindi, la protezione della
riservatezza dei dati personali è limitata ai cittadini
(cioè alle persone fisiche) e non trova applicazione nei
rapporti tra imprese; o meglio i dati delle persone
giuridiche, imprese, enti e associazioni (quindi non
solo, come ora previsto, i dati relativi alle attività
economiche) possono essere trattati senza vincoli,
purchè si tratti di trattamenti per le normali finalità
amministrativo-contabili. Lo stesso decreto, modificando
il comma 1-bis dell’art. 34 sulle misure di sicurezza
per i trattamenti dei dati con strumenti informatici
(già modificato dalle semplificazioni introdotte con il
D.L. n. 112/2008, convertito nella legge n. 133/08),
chiarisce che: “Ai fini dell’applicazione delle
disposizioni in materia di protezione dei dati
personali, i trattamenti effettuati per finalità
amministrativo-contabili sono quelli connessi allo
svolgimento delle attività di natura organizzativa,
amministrativa, finanziaria e contabile, a prescindere
dalla natura dei dati trattati. In particolare,
perseguono tali finalità le attività organizzative
interne, quelle funzionali all’adempimento di obblighi
contrattuali e precontrattuali, alla gestione del
rapporto di lavoro in tutte le sue fasi, alla tenuta
della contabilità e all’applicazione delle norme in
materia fiscale, sindacale, previdenziale-assistenziale,
di salute, igiene e sicurezza sul lavoro”. Pertanto,
tradotto in pratica, non sono più necessarie informative
e richieste di consenso se si trattano dati personali
relativi a persone giuridiche, esclusivamente per
finalità amministrativo-contabili, nel senso chiarito
dalla nuova norma.
Un’altra importante novità riguarda la gestione dei
curricula nel caso di trasmissione spontanea da parte
degli interessati. Il punto 2) del comma 2 dell’art. 6
del decreto per lo sviluppo, infatti, aggiunge alla fine
dell’art. 13 relativo all’informativa il nuovo comma
5-bis che prevede che: “L’informativa di cui al comma 1
non è dovuta in caso di ricezione di curricula
spontaneamente trasmessi dagli interessati ai fini
dell’eventuale instaurazione di un rapporto di lavoro.
Al momento del primo contatto successivo all’invio del
curriculum, il titolare è tenuto a fornire
all’interessato, anche oralmente, una informativa breve
contenente almeno gli elementi di cui al comma 1,
lettere a), d) ed f).”
Perciò, soltanto in un momento successivo a quello in
cui ci sarà un primo contatto, il titolare del
trattamento (per esempio l’azienda che convoca
l’interessato), anche durante il colloquio con il
candidato, sarà tenuto a fornire gli elementi
dell’informativa previsti dall’art. 13: finalità e
modalità del trattamento; soggetti che possono venire a
conoscenza dei dati in quanto responsabili o incaricati
del trattamento e ambito di diffusione dei dati;
indicazione delle modalità per conoscere l’identità di
tutti i responsabili del trattamento. In conseguenza di
ciò, il decreto inserisce nell’art. 24 del Codice
un’apposita esclusione dell’obbligo del consenso per il
trattamento dei dati dei curricula ricevuti. Infatti, il
punto 3) del comma 2 dell’art. 6 del decreto prevede
che: “all’art. 24, comma 1, lettera g) le parole: “anche
in riferimento all’attività di gruppi bancari e di
società controllate o collegate” sono soppresse” e dopo
la lettera i) è aggiunta la lettera i-bis) che prevede
che il trattamento dei dati comuni può essere effettuato
senza consenso quando riguarda dati contenuti nei
curricula, nei casi di cui all’articolo 13, comma
5-bis”.
Inoltre, la nuova lettera i-ter dell’art. 24, introdotta
dal decreto sullo sviluppo dispone che il trattamento
dei dati comuni non necessita di consenso (fermo
restando l’obbligo di rilasciare idonea informativa agli
interessati) quando: “con esclusione della diffusione e
fatto salvo quanto previsto dall’art. 130 del presente
codice, riguarda la comunicazione di dati (ndr. relativi
a persone fisiche o giuridiche) tra società, enti o
associazioni con società controllanti, controllate o
collegate ai sensi dell’articolo 2359 del codice civile
ovvero con società sottoposte a comune controllo, nonché
tra consorzi, reti di imprese e raggruppamenti e
associazioni temporanei di imprese con i soggetti ad
essi aderenti, per le finalità amministrativo contabili,
come definite all’articolo 34, comma 1-ter, e purché
queste finalità siano previste espressamente con
determinazione resa nota agli interessati all’atto
dell’informativa di cui all’articolo 13”.
L’esonero dall’obbligo del consenso riguarda anche i
dati sensibili contenuti nei curricula, infatti il punto
4) del comma 2 dell’art. 6 del decreto per lo sviluppo
introduce una apposita deroga all’interno del comma 3
dell’art. 26 del Codice, inserendo dopo la lettera b) la
nuova lettera b-bis che prevede che il comma 1 (obbligo
di consenso scritto per il trattamento dei dati
sensibili) non si applica al trattamento “dei dati
contenuti nei curricula, nei casi di cui all’articolo
13, comma 5-bis”.
Ma la
maggiore tra le novità introdotte con il decreto
riguarda – almeno nella prospettiva di semplificazione
perseguita dal Governo – l’esonero dall’obbligo di
predisposizione del DPS (Documento Programmatico per la
Sicurezza). Infatti, il punto 5) del comma 2 dell’art. 6
del decreto sostituisce il comma 1-bis dell’art 34 del
Codice stabilendo che: “Per i soggetti che trattano
soltanto dati personali non sensibili e che trattano
come unici dati sensibili e giudiziari quelli relativi
ai propri dipendenti e collaboratori, anche se
extracomunitari, compresi quelli relativi al coniuge e
ai parenti, la tenuta di un aggiornato documento
programmatico sulla sicurezza è sostituita dall’obbligo
di autocertificazione, resa dal titolare del trattamento
ai sensi dell’articolo 47 del testo unico di cui al
decreto del Presidente della Repubblica 28 dicembre
2000, n. 445, di trattare soltanto tali dati in
osservanza delle misure minime di sicurezza previste dal
presente codice e dal disciplinare tecnico contenuto
nell’allegato B”.
Il
testo del comma 1-bis dell’art. 34 (introdotto
originariamente dal D.L. n. 112/2008, convertito nella
legge n. 133/08) era molto più restrittivo, poiché
ammetteva la semplificazione solo per coloro che
trattano come unici dati sensibili quelli costituiti
dallo stato di salute o malattia dei propri dipendenti e
collaboratori anche a progetto, senza indicazione della
relativa diagnosi, ovvero dall’adesione a organizzazioni
sindacali o a carattere sindacale.
L’allargamento dell’agevolazione è notevole, perché non
si parla più solo di dati sanitari e sindacali, ma si
parla ora di tutti i dati sensibili e giudiziari;
inoltre nella versione precedente la platea degli
interessati era ristretta a dipendenti e collaboratori,
mentre nella versione del decreto per lo sviluppo, il
trattamento di dati di coniugi e parenti del dipendente
è compatibile con la semplificazione.
La
stessa disposizione prevede, inoltre, che: “In relazione
a tali trattamenti, nonché a trattamenti comunque
effettuati per correnti finalità
amministrativo-contabili, in particolare presso piccole
e medie imprese, liberi professionisti e artigiani, il
Garante, sentiti il Ministro per la semplificazione
normativa e il Ministro per la pubblica amministrazione
e l’innovazione, individua con proprio provvedimento, da
aggiornare periodicamente, modalità semplificate di
applicazione del disciplinare tecnico contenuto nel
citato allegato B) in ordine all’adozione delle misure
minime di cui al comma 1”.
A
questo proposito va ricordato che il Garante, con il
provvedimento generale 27 novembre 2008, aveva già
introdotto alcune semplificazioni a favore di tratta
dati personali non sensibili o tratta come unici dati
sensibili dei dipendenti quelli riguardanti lo stato di
salute o malattia (senza indicazione della diagnosi) o
l’adesione a organizzazioni sindacali e a favore di
piccole e medie imprese, liberi professionisti e
artigiani che trattano dati solo per le correnti
finalità amministrative e contabili. In base al
provvedimento dell’Authority per la privacy, i soggetti
interessati, tra l’altro, possono impartire agli
incaricati le istruzioni in materia di misure minime di
sicurezza anche oralmente e devono aggiornare i
programmi di sicurezza (antivirus) solo una volta
l’anno, e fare il backup dei dati solo una volta al
mese.
Un’ultima semplificazione introdotta dal punto 6) del
comma 2 dell’art. 6 del decreto per lo sviluppo riguarda
il marketing cartaceo; infatti “all’art. 130, comma
3-bis (articolo introdotto dall’art. 20-bis della legge
20 novembre 2009, n. 166 di conversione del cd. “decreto
Ronchi”) dopo le parole: “mediante l’impiego del
telefono” sono inserite le seguenti: “e della posta
cartacea” e dopo le parole: “l’iscrizione della
numerazione della quale è intestatario” sono inserite le
seguenti: “e degli altri dati personali di cui
all’articolo 129, comma 1,”.
In
sostanza, il decreto estende anche agli indirizzi
postali il regime dell’opt-out di recente introdotto nel
nostro ordinamento in materia di trattamento dei numeri
telefonici degli abbonati per l’esercizio del marketing
telefonico. Quindi anche per il marketing fatto per
posta vale il registro delle opposizioni, per cui gli
operatori di marketing diretto potranno utilizzare anche
gli indirizzi degli abbonati contenuti nell’elenco
telefonico per finalità promozionali senza bisogno di
chiedere il consenso alla sola condizione che questi
ultimi non abbiano richiesto l’iscrizione del proprio
numero telefonico e del proprio indirizzo presso il
registro delle opposizioni di recente istituito dalla L.
n. 166/09 e gestito dalla Fondazione Ugo Bordoni.
Attendiamo adesso la pubblicazione sulla G.U. e le
eventuali modifiche in sede di conversione del decreto e
poi… commenteremo l’impatto sulla privacy…! |
