Privacy - Eliminato per molte imprese l'obbligo di redazione del D.P.S. e altre novità

Privacy – Eliminato per molte imprese l’obbligo di redazione del D.P.S. ed altre novità introdotte dal D.L. n. 112/08 e dal Provvedimento del Garante 19 giugno 2008

Con la pubblicazione del D.L. n. 112/08 in Gazzetta Ufficiale (GU n. 147 del 25-6-2008 - Suppl. Ordinario n.152) dal titolo “Disposizioni urgenti per lo sviluppo economico, la semplificazione, la competitività, la stabilizzazione della finanza pubblica e la perequazione Tributaria” sono statepreviste delle misure di semplificazione in ordine agli adempimenti in materia di privacy riducendo gli oneri amministrativi e burocratici connessi alla tutela della riservatezza.

Ed a quanto sopra è seguita la pubblicazione del Provvedimento del Garante Privacy datato 19/06/08 (G.U. 01.07.08 n.152) dal titolo “Semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrative e contabili”.

1) Il D.L. n. 112/08 art. 29

L’art. 29 del DL n. 112, inserito nel Titolo II, Capo VII sulle “Semplificazioni”, modifica infatti il d.lgs. n. 196/2003 (Codice in materia di protezione dei dati personali, di seguito “Codice”) con l’obiettivo di ridurre gli oneri delle imprese connessi agli obblighi di redazione del Documento Programmatico sulla Sicurezza e di notificazione del trattamento.

I’art. 29 comma 1 interviene sul testo dell’art. 34 del Codice, che individua le misure minime di sicurezza - tra le quali è compreso il D.P.S. - applicabili al trattamento di dati personali effettuato con strumenti elettronici, introducendo un nuovo comma 1-bis che esclude dall’ambito di applicazione dell’obbligo del D.P.S. le imprese (e, in generale, tutti i soggetti) che trattano, oltre ai dati personali “comuni”, quale unico eventuale dato sensibile lo stato di salute o malattia dei propri dipendenti senza indicazione della relativa diagnosi (es. certificato di assenza per malattia).

Pertanto, la norma in esame stabilisce che la natura di tali dati sanitari non incide sull’obbligo di redazione del D.P.S. a carico di tutte le imprese.

Queste ultime, infatti, trattano il dato dell’assenza per malattia nell’ambito dell’ordinaria gestione del rapporto di lavoro con i propri dipendenti e collaboratori, sulla base di norme di legge e contrattuali.

Per tale categoria di imprese l’obbligo di redazione del D.P.S. viene quindi eliminato e sostituito da un’autocertificazione, resa ai sensi dell’art. 47 del DPR n. 445 del 28 dicembre 2000, con la quale il titolare dovrà attestare:

1)di trattare soltanto dati personali non sensibili (quindi, “comuni”) e che l’unico dato sensibile è costituito dallo stato di salute o malattia dei propri dipendenti senza indicazione della relativa diagnosi;

2)che il trattamento del dato sensibile (i.e. sanitario) è stato eseguito in osservanza delle misure di sicurezza richieste dal presente Codice (artt. 33-35), nonché del disciplinare tecnico cd. Allegato B).

L’art. 29, comma 2, prevede la semplificazione delle modalità di redazione del D.P.S. anche per tutte le altre imprese (quelle che non rientrano nella possibilità di beneficiare dell’autocertificazione di cui al nuovo art. 34, co. 1-bis del Codice), allo scopo di adempiere alle correnti finalità amministrative e contabili.

La previsione di un D.P.S. a carattere semplificato per la generalità delle imprese che trattano dati comuni e sensibili - diversi da quelli relativi all’assenza per malattia – viene rimandata ad un successivo intervento di aggiornamento del disciplinare tecnico di cui all’Allegato B), da realizzarsi entro due mesi dall’entrata in vigore della legge di conversione del DL n. 112/08, nelle forme del decreto ministeriale di cui all’art. 36 del Codice.

Il rispetto del termine di due mesi è presidiato dalla previsione contenuta nell’art. 29, co. 3 del DL, secondo cui la mancata adozione del decreto di adeguamento entro la scadenza indicata rende applicabile a tutte le imprese titolari di un trattamento (indipendentemente dalla natura dei dati trattati, comuni e/o sensibili) la disciplina privilegiata dell’autocertificazione ex art. 34, co. 1-bis.

L’art. 29, commi 4 e 5 riguarda, poi, l’obbligo di notificazione, che attiene ai soli trattamenti tassativamente individuati all’art. 37 del Codice, ed, interviene a semplificare le modalità di esecuzione di tale adempimento.

Nell’attuale formulazione il modello per la notificazione predisposto dallo stesso Garante per la protezione dei dati personali (di seguito, “il Garante”) richiede infatti numerose informazioni non previste dalla disciplina comunitaria.

Pertanto, il comma 2 dell’art. 38 del Codice è sostituito con una nuova disposizione che, da un lato, limita il novero delle informazioni da fornire in sede di notifica al Garante conformemente alle indicazioni della direttiva comunitaria, dall’altro lato non prevede più alcun riferimento alle modalità di sottoscrizione della notificazione con firma digitale.

Infatti all'articolo 38 , il comma 2 e' sostituito dal seguente:

"La notificazione e' validamente effettuata solo se e' trasmessa attraverso il sito del Garante, utilizzando l'apposito modello, che contiene la richiesta di fornire tutte e soltanto le seguenti informazioni:

1) le coordinate identificative del titolare del trattamento e, eventualmente, del suo rappresentante, nonche' di un responsabile del trattamento se designato;

2) la o le finalita' del trattamento;

3) una descrizione della o delle categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime;

4) i destinatari o le categorie di destinatari a cui i dati possono essere comunicati;

5) i trasferimenti di dati previsti verso Paesi terzi;

6) una descrizione generale che permetta di valutare in via preliminare l'adeguatezza delle misure adottate per garantire la sicurezza del trattamento.".

In sostituzione dell’obbligo di dotarsi della firma digitale per la notificazione, come chiarito nella Relazione al DDL di conversione del DL n. 112/08, il Garante potrà stabilire, ai sensi del co. 5 dell’articolo 38 del Codice, altre modalità semplificate di individuazione del mittente (ad es. tramite procedure di autenticazione nel sito mediante password, secondo una prassi ormai corrente nella modulistica on-line di molte pubbliche amministrazioni).

È stato infine disposto l’obbligo del Garante di adeguare il contenuto del modello predisposto per la notifica entro il termine di due mesi dall’entrata in vigore della legge di conversione del DL 112/08.

Si consiglia tuttavia alle imprese interessate di continuare a redigere e tenereaggiornato il D.P.S. magari indicando in premessa che esso è “redatto a titolo volontario”, al fine di attuare prassi virtuose e comunque assicurarsi il corretto adempimento delle misure.



2) Il Provvedimento dell’Autorità Garante 19/06/08.

In detto il Garante, ha valutato come alcune modalità applicative, seguite soprattutto presso piccole imprese, liberi professionisti e artigiani, sono ancora basate su approcci prettamente burocratici e di ordine puramente formale ed ha quindi enunciate nuove linee guida-interpretative della normativa vigente e individuato alcune modalità innovative per semplificare taluni adempimenti, in modo particolare per l'informativa agli interessati e il consenso.

Quanto all’informativa agli interessati

Diverse realtà, specie imprenditoriali di piccole e medie dimensioni, trattano dati, anche in relazione a obblighi contrattuali, precontrattuali o di legge, esclusivamente per finalità di ordine amministrativo e contabile (gestione di ordinativi, buste paga e di ordinaria corrispondenza con clienti, fornitori, realtà esterne di supporto anche in outsourcing, dipendenti); spesso, ciò accade in relazione a informazioni che non hanno carattere sensibile o giudiziario.

Alcune tra le criticità menzionate riguardano le modalità con cui l'informativa è fornita per iscritto, anziché oralmente (art. 13).

Sono stati formati spesso moduli lunghi e burocratici, privi di comunicatività e basati sull'eccessivo uso di espressioni prettamente giuridiche, inidonee a far comprendere le caratteristiche principali del trattamento.

Alla mancanza di chiarezza si è sommata l'inutile ripetizione dell'informativa in occasione di ciascun contatto con gli interessati, frazionando le spiegazioni che andrebbero invece fornite in modo organico e possibilmente unitario.

Il Garante prescrive quindi a tutti i titolari in ambito privato e pubblico alcune misure opportune e formulare indicazioni per semplificare l'informativa nei termini di cui al seguente dispositivo (artt. 2, comma 2, 13, commi 3 e 5 e 154, comma 1, lett. c)).

Viene quindi dato atto relativamente all’adempimento degli obblighi dell’informativa e del consenso, che i titolari del trattamento in ambito privato e pubblico, tra cui soprattutto PMI, professionisti e artigiani, possano:

a)fornire un'unica informativa per il complesso dei trattamenti, anziché per singoli aspetti del rapporto con gli interessatiper di evitare ripetizioni;

b) fornire a questi ultimi una ricostruzione organica dei trattamenti e con linguaggio semplice, senza frammentarla o reiterarla inutilmente;

c) indicare le informazioni essenziali in un quadro adeguato di lealtà e correttezza;

d) redigere, per quanto possibile, una prima informativa breve. All'interessato, anche oralmente, andrebbero indicate sinteticamente alcune prime notizie chiarendo subito, con immediatezza, le principali caratteristiche del trattamento. In linea di massima l'informativa breve, quando è scritta, può avere la seguente formulazione:

"I SUOI DATI PERSONALI

Utilizziamo -anche tramite collaboratori esterni- i dati che la riguardano esclusivamente per nostre finalità amministrative e contabili, anche quando li comunichiamo a terzi. Informazioni dettagliate, anche in ordine al suo diritto di accesso e agli altri suoi diritti, sono riportate su...";

e) per l'informativa, specie per quella breve, si possono utilizzare gli spazi utili nel materiale cartaceo e nella corrispondenza che si impiegano già, ordinariamente, per finalità amministrative e contabili;

f) l'informativa breve può rinviare a un testo più articolato, disponibile agevolmente senza oneri per gli interessati, in luoghi e con modalità facilmente accessibili anche con strumenti informatici e telematici (in particolare, tramite reti Intranet o siti Internet, affissioni in bacheche o locali, avvisi e cartelli agli sportelli per la clientela, messaggi preregistrati disponibili digitando un numero telefonico gratuito).

Anche questa più ampia informativa deve essere improntata a correttezza, tenendo conto di possibili modifiche del trattamento, ed essere basata su espressioni sintetiche, chiare e comprensibili. Le notizie da indicare per legge (art. 13, comma 1) devono essere aggiornate, specificando la data dell'ultimo aggiornamento;

g) è possibile non inserire nell'informativa più articolata gli elementi noti all'interessato (art. 13, commi 2 e 4). E' opportuno omettere riferimenti meramente burocratici o circostanze ovvie, per esempio quando alcune informazioni, compresi gli estremi identificativi del titolare, risultano da altre parti del documento in cui è presente l'informativa. Vanno utilizzate espressioni efficaci, anche se sintetiche, anche per quanto riguarda i diritti degli interessati e l'organismo o soggetto al quale rivolgersi per esercitarli. Se è prevista la raccolta di dati presso terzi è possibile formulare una sola informativa per i dati forniti direttamente dall'interessato e per quelli che saranno acquisiti presso terzi. Per questi ultimi dati, l'informativa può non essere fornita quando vi è un obbligo normativo di trattarli (art. 13, comma 5);

h) è opportuno che l'informativa più articolata sia basata su uno schema tendenzialmente uniforme per il settore di attività del titolare del trattamento;

i) è invece necessario fornire un'informativa specifica o ad hoc quando il trattamento ha caratteristiche del tutto particolari perché coinvolge, ad esempio, peculiari informazioni (es. dati genetici) o prevede forme inusuali di utilizzazione di dati, specie sensibili, rispetto alle ordinarie esigenze amministrative e contabili, o può comportare rischi specifici per gli interessati (ad esempio, rispetto a determinate forme di uso di dati biometrici o di controllo delle attività dei lavoratori). Se il titolare del trattamento è un soggetto pubblico devono essere inserite le indicazioni che la legge prevede per i dati sensibili e giudiziari;

Quanto al consenso

Il Garante, con riferimento al consenso (art. 23) esonera il titolare dalla richiesta del consenso per l’utilizzazione di recapiti (oltre che di posta elettronica come già previsto per legge) di posta cartacea forniti dall’interessato cui sia stato precedente venduto un prodotto o prestato un servizio e quando, nel quadro dello svolgimento di ordinarie finalità amministrative e contabili, per inviare ulteriore suo materiale pubblicitario o promuovere una sua vendita diretta o per compiere sue ricerche di mercato o di comunicazione commerciale e quando il trattamento dei dati in ambito privato è svolto per adempiere a obblighi contrattuali o normativi o, comunque, per ordinarie finalità amministrative e contabili o ancora i dati trattati provengono da pubblici registri ed elenchi pubblici conoscibili da chiunque o sono relativi allo svolgimento di attività economiche dell'interessato.

In tali casi sarà possibile omettere il consenso, ai fini dell’invio di materiale pubblicitario, di vendita diretta o del compimento di ricerche di mercato e/o comunicazioni commerciali, nei limiti in cui ricorrano contestualmente le seguenti condizioni:

a)l’attività promozionale riguardi beni e servizi del medesimo titolare e analoghi a quelli oggetto della vendita già avvenuta;

b)l’interessato sia informato della possibilità di far cessare il trattamento manifestando la propria opposizione.

Peraltro, il Garante ha anche proposto l'aggiunta di un comma 1-bis all'art. 33 del Codice, specificandone la relativa formulazione: "Il Garante può individuare con proprio provvedimento modalità semplificate in ordine all'adozione delle misure minime di cui al comma 1, con riferimento ai trattamenti effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani".

Lachiver Servizi è a disposizione per la miglior tutela, assistenza e consulenza in ordine all’applicazione della normativa sopraccitata e della disciplina in materia di Privacy.