11 maggio 2011
Privacy. Misure di semplificazione per le imprese introdotte dal “decreto per lo sviluppo”.
Lo scorso 5 maggio il Consiglio dei Ministri ha approvato uno schema di decreto legge (in attesa di pubblicazione sulla Gazzetta Ufficiale) recante una serie di misure urgenti per l’economia (il cd. “decreto per lo sviluppo”) che contiene alcune importanti novità per quanto riguarda l’applicazione della legge sulla privacy nelle imprese.
L’art. 6 del D.L. 5 maggio 2011 n. 138, rubricato “Ulteriori riduzioni e semplificazioni degli adempimenti burocratici”, nei suoi primi due commi contiene alcune importanti novità per le imprese in materia di trattamento dei dati personali.
Innanzitutto il comma 1, lettera a) dell’art. 6 ridimensiona fortemente l’ambito di applicazione del Codice della privacy stabilendo che: “in corretta applicazione della normativa europea le comunicazioni relative alla riservatezza dei dati personali sono limitate alla tutela dei cittadini, conseguentemente non trovano applicazione nei rapporti tra imprese”.
Il comma 2, dell’art. 6 del decreto, invece, introduce importanti modifiche ad alcuni articoli del D.Lgs. n. 196/03. Vediamole brevemente nel dettaglio.
Per quanto riguarda l’ambito di applicazione del Codice, il nuovo comma 3-bis aggiunto all’art. 5 prevede che: “Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo-contabili, come definite all’articolo 34, comma 1-ter, non è soggetto all’applicazione del presente codice.” Quindi, la protezione della riservatezza dei dati personali è limitata ai cittadini (cioè alle persone fisiche) e non trova applicazione nei rapporti tra imprese; o meglio i dati delle persone giuridiche, imprese, enti e associazioni (quindi non solo, come ora previsto, i dati relativi alle attività economiche) possono essere trattati senza vincoli, purchè si tratti di trattamenti per le normali finalità amministrativo-contabili. Lo stesso decreto, modificando il comma 1-bis dell’art. 34 sulle misure di sicurezza per i trattamenti dei dati con strumenti informatici (già modificato dalle semplificazioni introdotte con il D.L. n. 112/2008, convertito nella legge n. 133/08), chiarisce che: “Ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro”. Pertanto, tradotto in pratica, non sono più necessarie informative e richieste di consenso se si trattano dati personali relativi a persone giuridiche, esclusivamente per finalità amministrativo-contabili, nel senso chiarito dalla nuova norma.
Un’altra importante novità riguarda la gestione dei curricula nel caso di trasmissione spontanea da parte degli interessati. Il punto 2) del comma 2 dell’art. 6 del decreto per lo sviluppo, infatti, aggiunge alla fine dell’art. 13 relativo all’informativa il nuovo comma 5-bis che prevede che: “L’informativa di cui al comma 1 non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro. Al momento del primo contatto successivo all’invio del curriculum, il titolare è tenuto a fornire all’interessato, anche oralmente, una informativa breve contenente almeno gli elementi di cui al comma 1, lettere a), d) ed f).”
Perciò, soltanto in un momento successivo a quello in cui ci sarà un primo contatto, il titolare del trattamento (per esempio l’azienda che convoca l’interessato), anche durante il colloquio con il candidato, sarà tenuto a fornire gli elementi dell’informativa previsti dall’art. 13: finalità e modalità del trattamento; soggetti che possono venire a conoscenza dei dati in quanto responsabili o incaricati del trattamento e ambito di diffusione dei dati; indicazione delle modalità per conoscere l’identità di tutti i responsabili del trattamento. In conseguenza di ciò, il decreto inserisce nell’art. 24 del Codice un’apposita esclusione dell’obbligo del consenso per il trattamento dei dati dei curricula ricevuti. Infatti, il punto 3) del comma 2 dell’art. 6 del decreto prevede che: “all’art. 24, comma 1, lettera g) le parole: “anche in riferimento all’attività di gruppi bancari e di società controllate o collegate” sono soppresse” e dopo la lettera i) è aggiunta la lettera i-bis) che prevede che il trattamento dei dati comuni può essere effettuato senza consenso quando riguarda dati contenuti nei curricula, nei casi di cui all’articolo 13, comma 5-bis”.
Inoltre, la nuova lettera i-ter dell’art. 24, introdotta dal decreto sullo sviluppo dispone che il trattamento dei dati comuni non necessita di consenso (fermo restando l’obbligo di rilasciare idonea informativa agli interessati) quando: “con esclusione della diffusione e fatto salvo quanto previsto dall’art. 130 del presente codice, riguarda la comunicazione di dati (ndr. relativi a persone fisiche o giuridiche) tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell’articolo 2359 del codice civile ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti, per le finalità amministrativo contabili, come definite all’articolo 34, comma 1-ter, e purché queste finalità siano previste espressamente con determinazione resa nota agli interessati all’atto dell’informativa di cui all’articolo 13”.
L’esonero dall’obbligo del consenso riguarda anche i dati sensibili contenuti nei curricula, infatti il punto 4) del comma 2 dell’art. 6 del decreto per lo sviluppo introduce una apposita deroga all’interno del comma 3 dell’art. 26 del Codice, inserendo dopo la lettera b) la nuova lettera b-bis che prevede che il comma 1 (obbligo di consenso scritto per il trattamento dei dati sensibili) non si applica al trattamento “dei dati contenuti nei curricula, nei casi di cui all’articolo 13, comma 5-bis”.
Ma la maggiore tra le novità introdotte con il decreto riguarda – almeno nella prospettiva di semplificazione perseguita dal Governo – l’esonero dall’obbligo di predisposizione del DPS (Documento Programmatico per la Sicurezza). Infatti, il punto 5) del comma 2 dell’art. 6 del decreto sostituisce il comma 1-bis dell’art 34 del Codice stabilendo che: “Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell’allegato B”.
Il testo del comma 1-bis dell’art. 34 (introdotto originariamente dal D.L. n. 112/2008, convertito nella legge n. 133/08) era molto più restrittivo, poiché ammetteva la semplificazione solo per coloro che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’adesione a organizzazioni sindacali o a carattere sindacale.
L’allargamento dell’agevolazione è notevole, perché non si parla più solo di dati sanitari e sindacali, ma si parla ora di tutti i dati sensibili e giudiziari; inoltre nella versione precedente la platea degli interessati era ristretta a dipendenti e collaboratori, mentre nella versione del decreto per lo sviluppo, il trattamento di dati di coniugi e parenti del dipendente è compatibile con la semplificazione.
La stessa disposizione prevede, inoltre, che: “In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrativo-contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l’innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all’adozione delle misure minime di cui al comma 1”.
A questo proposito va ricordato che il Garante, con il provvedimento generale 27 novembre 2008, aveva già introdotto alcune semplificazioni a favore di tratta dati personali non sensibili o tratta come unici dati sensibili dei dipendenti quelli riguardanti lo stato di salute o malattia (senza indicazione della diagnosi) o l’adesione a organizzazioni sindacali e a favore di piccole e medie imprese, liberi professionisti e artigiani che trattano dati solo per le correnti finalità amministrative e contabili. In base al provvedimento dell’Authority per la privacy, i soggetti interessati, tra l’altro, possono impartire agli incaricati le istruzioni in materia di misure minime di sicurezza anche oralmente e devono aggiornare i programmi di sicurezza (antivirus) solo una volta l’anno, e fare il backup dei dati solo una volta al mese.
Un’ultima semplificazione introdotta dal punto 6) del comma 2 dell’art. 6 del decreto per lo sviluppo riguarda il marketing cartaceo; infatti “all’art. 130, comma 3-bis (articolo introdotto dall’art. 20-bis della legge 20 novembre 2009, n. 166 di conversione del cd. “decreto Ronchi”) dopo le parole: “mediante l’impiego del telefono” sono inserite le seguenti: “e della posta cartacea” e dopo le parole: “l’iscrizione della numerazione della quale è intestatario” sono inserite le seguenti: “e degli altri dati personali di cui all’articolo 129, comma 1,”.
In sostanza, il decreto estende anche agli indirizzi postali il regime dell’opt-out di recente introdotto nel nostro ordinamento in materia di trattamento dei numeri telefonici degli abbonati per l’esercizio del marketing telefonico. Quindi anche per il marketing fatto per posta vale il registro delle opposizioni, per cui gli operatori di marketing diretto potranno utilizzare anche gli indirizzi degli abbonati contenuti nell’elenco telefonico per finalità promozionali senza bisogno di chiedere il consenso alla sola condizione che questi ultimi non abbiano richiesto l’iscrizione del proprio numero telefonico e del proprio indirizzo presso il registro delle opposizioni di recente istituito dalla L. n. 166/09 e gestito dalla Fondazione Ugo Bordoni.
Attendiamo adesso la pubblicazione sulla G.U. e le eventuali modifiche in sede di conversione del decreto e poi… commenteremo l’impatto sulla privacy…!
Scritto il 11-5-2011 alle ore 14:56
Sì…la normativa sulla Privacy aveva urgente necessità di uno sfrondamento energico….speriamo solo che il rimedio non sia peggiore del danno….w l’Italia!
Scritto il 11-5-2011 alle ore 15:28
Lo spero anch’io Raffaella… ma, francamente, le misure di “semplificazione” introdotte in materia di privacy dal decreto mi lasciano perplesso… per non dire sconcertato. Infatti, dopo anni di lenta e faticosa introduzione di una (se pur modesta) “cultura della privacy” nel nostro Paese, ecco che con un colpo di spugna il Governo fa piazza pulita, stabilendo nell’art 6, comma 1, lettera a) dello schema di decreto legge che: “in corretta applicazione della normativa europea (ndr. ma ne siamo sicuri?!) le comunicazioni relative alla riservatezza dei dati personali sono limitate alla tutela dei cittadini, conseguentemente non trovano applicazione nei rapporti tra imprese”. Ma ciò che è peggio è che l’art. 6, all’interno del quale si trova questa disposizione, è rubricato “Ulteriori riduzioni e semplificazioni degli adempimenti burocratici”, quasi a voler sostenere che l’applicazione della legge sulla tutela dei dati personali all’interno delle imprese è un (inutile) “adempimento burocratico”… cosa che io non accetto e non condivido.
Fatta questa sconcertante premessa, il Governo nel comma 2, dell’art. 6 del decreto introduce alcune modifiche del Codice per la protezione dei dati personali che sostanzialmente smontano pezzo dopo pezzo l’impianto del D.Lgs. 196/03.
Innanzitutto viene sostanzialmente modificato l’ambito di applicazione del Codice e per effetto della modifica, in pratica, se un’impresa tratta dati personali relativi a persone giuridiche, esclusivamente per finalità amministrativo-contabili non sono più necessarie informative e richieste di consenso (e questa può anche essere considerata una semplificazione positiva), ma, non applicandosi più il Codice della privacy a questi trattamenti di dati personali non sono più applicabili nemmeno le misure minime di sicurezza. Questa esenzione desta in me stupore e preoccupazione, ma per come è formulata la norma si tratta di un’esenzione di carattere generale, che riguarda sostanzialmente tutte le attività più rilevanti dell’impresa, attività che comprendono anche il trattamento di dati sensibili del personale che possono rivestire una particolare delicatezza. Questo, a mio modesto avviso, finisce per ridurre notevolmente la rilevanza della nozione stessa di “riservatezza” derivante dal Codice della privacy.
Ma la novità maggiore introdotta con il decreto cioè l’esonero dall’obbligo di predisposizione del DPS è quella che mi preoccupa di più.
E’ pur vero che l’eliminazione dell’obbligo della redazione del DPS non esime il titolare dall’applicazione di tutte le altre misure minime di sicurezza, ma mi domando quale sia l’effettiva utilità dell’aver eliminato un documento che, a mio avviso, non doveva essere altro che una relazione tecnica in cui il titolare deve descrivere dettagliatamente il sistema di sicurezza per il trattamento dei dati adottato nell’ambito della propria organizzazione. Se questa eliminazione sia stata dovuto al fatto che per lo più nella pratica il DPS si è ridotto a un mero adempimento burocratico assolutamente privo di contenuti e quindi inutile, non lo so. Sta di fatto, però, che con questa “semplificazione” il legislatore ha eliminato uno strumento che originariamente era stato concepito per poter tenere agevolmente sotto controllo tutto il sistema di sicurezza per il trattamento dei dati adottato dal titolare. Nelle intenzioni del legislatore del Codice della privacy, si trattava di uno strumento che, se non viene ridotto ad un pacco di carta inutile (come purtroppo spesso avviene anche per colpa di “consulenti” ed “esperti” poco seri e preparati e di titolaridel trattamento poco sensibili alla problematica della privacy) è veramente utile per il titolare del trattamento e può garantire un trattamento corretto e sicuro delle informazioni, che sia rispettoso del diritto alla riservatezza di ciascuno.
Infine, anche la semplificazione che riguarda il marketing cartaceo mi lascia molto perplesso.
Il regime dell’opt-out, che prevede l’iscrizione nell’apposito Registro delle opposizioni, per il momento non sta dando affatto risultati soddisfacenti (ma mi auguro che sia solo una questione di tempo…), ciononostante il legislatore ha previsto che anche per evitare il marketing fatto per posta il cittadino dovrà iscriversi in questo Registro. Temo proprio che continuerà, o peggio aumenterà, l’intasamento delle nostre cassette postali con “inutile cartaccia”… staremo a vedere.
Adesso il testo arriverà in Parlamento, dove saranno sicuramente corretti quantomeno gli errori terminologici e sistematici presenti nello schema di decreto, ma io mi domando se saranno apportate anche quelle necessarie modifiche senza le quali la disciplina sulla tutela del trattamento dei dati personali ne esce veramente impoverita. Nel frattempo non posso che registrare l’imbarazzante silenzio dell’Autorità Garante per la privacy… il che non fa che aumentare le mie perplessità.
Scritto il 14-5-2011 alle ore 17:31
Sono d’accordo con Marcello Polacchini ma ci tengo ad evidenziare quello che ritengo l’errore più grossolano ed il pericolo più grave.
Se veramente si voleva semplificare la vita alle imprese che trattano dati personali di altre imprese per esclusive finalità amministrativo-contabili, finalmente identificabili con l’introduzione dell’art. 34 comma 1-ter, si poteva anzicchè definire “non applicabile il codice”, elencare gli adempimenti formali non più obbligatori e non minare l’intero impianto della privacy, in primis per le misure di sicurezza.
Difatti, una perplessità che ho è la seguente: se la non applicabilità del codice è per “Il trattamento di dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per finalità amministrativo-contabili, come definite nell’art. 34 comma 1-ter” CHE SUCCEDE a quelle aziende che effettuano anche trattamenti nei confronti di soggetti diversi da imprese, enti e associazioni? Applicheranno il codice privacy a metà? Per esempio, una azienda che rientrerebbe nelle ipotesi di cui sopra, ma che ha dipendenti (che sono persone fisiche) che fa? Applica le misure minime “semplificate” (per la concorrenza dell’art. 34 comma 1-bis) per i trattamenti riferibili ai dipendenti e NON ADOTTA alcuna misura di sicurezza per gli altri trattamenti? Ed il titolare del trattamento, effettua le “nomine ad incaricato” solo a chi tratterà i dati del personale dipendente (impiegati a vario titolo del reparto HR oltre ai manutentori degli strumenti elettronici (non definibili Amministratori di sistema in questo contesto)) e non farà nulla per ciò che concerne i trattamenti di dati tra imprese, rientranti nelle finalità amministrativo-contabili? (Tanto per fare un esempio di possibile concorrenza di trattamenti non rientranti nell’applicabilità del codice e di altri che invece rientrerebbero, per le stesse imprese, vista l’impostazione.)
Altra polemica, ma questa è storia ormai vecchia, sono le misure minime di sicurezza “semplificate”….. ma se le misure di cui all’art.34 meglio specificate nell’ allegato Sub B) erano già “minime”, le “minime semplificate” sono una contraddizione a partire dalla definizione…. come se fare un backup settimanale anzicchè mensile fosse il problema delle piccole imprese… siamo seri.
Se proprio ci si era reso conto che, come giustamente sottolineava il Polacchini, vi era una malcostume nel come e stato inteso e gestito il DPSS, per colpa della “mancanza di cultura” dei titolari di trattamento e di pratich poco professionali di taluni “consulenti poco seri”, tanto per essere buoni, anzicchè introdurre le misure semplificate, bastava limitarsi ad esonerare dall’obbligo del DPSS e non toccare le misure minime, certificando comunque un insuccesso (ma meglio feriti che morti).
Concludo dicendo che, condivido lo spirito di semplificazione, ma se dovessi/potessi suggerire una rettifica all”attuale bozza di decreto, sarebbe proprio sull’art. 5 comma 3-bis, prima di ogni altra cosa, non chiamando in causa una “non applicabilità del codice”, ma indicando esplicitamente quegli adempimenti ritenuti “burocratici” da esonerare nel contesto citato dall’art.5 comma3-bis.
cordialità.
Scritto il 16-5-2011 alle ore 15:38
La privacy sarà un adempimento utile però come cittadino la considero inutile per il seguente motivo:
E’ la via legale per ottenere i dati sensibili del cittadino infatti se non si accetta il trattamento dei dati praticamente non posso fruire di alcun servizio.
Considerato quindi che l’ottenimento dei dati è condizione necessaria per il servizio cosa importa a me che la privacy venga ridotta?
Almeno la marea di carta viene eliminata!
Dico fesserie?
Scritto il 26-5-2011 alle ore 10:26
E per quanto riguarda gli amministratori di sistema ? In teoria questa parte non è stata toccata, quindi l’obbligo dovrebbe esserci, ma potrei trovarmi nella situazione in cui sarei esente dal compilare il dps ma sarei obbigato ad inserirci dentro l’elenco degli amministratori…
Scritto il 3-6-2011 alle ore 18:59
Salve, post molto utile.
Mi chiedo (ma magari sbaglio io) ma nello specificare che la semplificazione riguarda i rapporti intercorrenti esclusivamente tra i medesimi soggetti per finalità amministrativo-contabili etc, si esclude il caso in cui i dati vengano comunicati a terzi sempre per fini amministrativo contabili? (es. banche, consulenti fiscali, etc)
Mario
Scritto il 13-6-2011 alle ore 16:20
Di ritorno da un lungo viaggio all’estero, rispondo brevemente e cumulativamente agli ultimi interventi inseriti in mia assenza.
@Lino. Sono perfettamente d’accordo! Vedremo il testo di conversione del decreto e… speriamo bene!
@Marco. Non mi trova assolutamente d’accordo. In primo luogo lei ha una idea poco precisa di che cosa siano i “dati sensibili” per la legge sulla privacy… Legga bene la definizione contenuta nell’art. 4, che limita questa categoria a solo pochi dati particolarmente delicati, elencati tassativamente dalla legge.
In secondo luogo la sua affermazione non è corretta. Lei ha il pieno diritto (come affermato espressamente dal Garante) di otenere il servizio che richiede, semplicemente fornendo al titolare del trattamento i dati personali (generalmente di tipo “comune”) che gli sono necessari e indispensabili per fornirle il servizio richiesto e rifiutando ogni altro trattamento per finalità diverse e eccedenti rispetto a quelle per le quale i suoi dati sono richiesti. Inoltre, lei ha sempre e comunque il diritto ad opporsi al trattamento dei suoi dati sul quale non è d’accordo.
@Orazio. Il testo del D.L. non riguarda gli amministratori del sistema informatico. In effetti una piccola impresa potrebbe trovarsi nella situazione di essere esentata dalla redazione del DPS ma di avere di fatto nominato un ADS (figura in ogni caso facoltativa).
@Mario. A mio avviso la “semplificazione” riguarda tutti i trattamenti di dati personali effettuati per mere finalità amministrative e contabili, qualunque siano i soggetti ai quali tali dati sono comunicati.
Scritto il 21-6-2011 alle ore 16:46
Dott. Polacchini,
la ringrazio. Non lo sapevo.
Allora mi rimangio quanto scritto.
Scritto il 22-6-2011 alle ore 11:10
Buongiorno Marco.
L’art. 23, comma 3, del Codice della privacy dispone che il trattamento di dati personali da parte dei privati è ammesso solo previa acquisizione di un consenso dell’interessato libero, informato e specifico, con riferimento a trattamenti chiaramente individuati, e da documentare per iscritto.
Ciò posto, per sua conoscenza le do qui di seguito alcuni riferimenti di provvedimenti dell’Autorità Garante per la privacy nei quali è stato precisato che non può definirsi “libero” (e quindi risulta indebitamente necessitato) il consenso a ulteriori trattamenti di dati personali che l’interessato “debba” prestare quale condizione per conseguire una prestazione richiesta: v. provv. n. 112 del 23 marzo 2011, doc. web n. 1807691 ; provv. 22 febbraio 2007, doc. web n. 1388590; provv. 12 ottobre 2005, doc. web n. 1179604; provv. 3 novembre 2005, doc. web n. 1195215; provv. 10 maggio 2006, doc. web n. 1298709 ; provv. 15 luglio 2010, doc. web n. 1741998 in http://www.garanteprivacy.it.
Inoltre, il Garante ha precisato che gli interessati devono essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei dati che li riguardano, manifestando il proprio consenso – allorché richiesto per legge – per ciascuna distinta finalità perseguita dal titolare (v. provv. 24 febbraio 2005, punto 7, in http://www.garanteprivacy.it, doc. web n. 1103045.
Pertanto, in assenza di un’idonea informativa ex art. 13 del Codice e di un consenso libero, specifico e documentato degli interessati ex art. 23 del Codice, il trattamento dei dati personali effettuato è “illecito”.
Scritto il 27-7-2011 alle ore 16:01
Buongiorno e grazie per questo ottimo post.
Riguardo alla normativa sugli amminisratori di sistema, secondo me verrebbe anch’essa ridimensionata totalmente dal D.L.
Infatti nel provvedimento sugli AdS del 27 novembre 2008 viene detto che “Sono stati esclusi dal campo di applicazione del Provvedimento, perché meno rischiosi per gli interessati, i trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili”
Quindi per me, chi è esentato a redarre il DPS per questa categoria di trattamenti è esentato allo stesso identico modo, dalla normativa sugli AdS.
Che ne pensa?
Scritto il 27-7-2011 alle ore 18:31
Direi che la sua interpretazione è corretta Andrea, del resto… era così già prima della legge 12 luglio 2011, n. 106 di conversione del D.L. n. 70/2011(cd. Decreto Sviluppo).
Già dal 2008 le particolari misure di sicurezza relative agli ADS riguardavano solo le imprese che avevano nominato questa figura tecnica particolare, figura che come precisato dallo stesso Garante per la privacy oltre alla gestione e manutenzione degli impianti di elaborazione deve effettuare uno specifico trattamento di dati personali,cioè deve poter intervenire sui dati personali (in tale figura sono compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali). In altri termini la figura dell’amministratore di sistema è necessaria qualora vi sia una condivisione in rete di archivi contenenti dati personali. In caso contrario non ha ragione di esistere. Nell’ambito della figura degli amministratori di sistema rientrano anche gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.
A mio avviso la gestione delle basi dati necessarie per l’ordinaria gestione amministrativa e contabile di una piccola impresa di per sé non richiede (e non richiedeva) la nomina di tale figura, che, del resto, non è prevista obbligatoriamente dal D.Lgs. 196/03.
Scritto il 5-8-2011 alle ore 12:25
Ho letto con interesse i vostri post, ma mi rimane un dubbio fortissimo: la semplificazione inerente il concetto di “fini amministrativo contabili” (che quasi tutti concordano nel considerare talmente amplia da minare alla base l’intero impianto del DLG (compresi i provvedimenti sugli AdS) ….e’ veramente tale?
Siamo, in altre parole, sicuri che tutti gli elenchi di “prospect”, i DB commerciali, gli elenchi di contatti etc etc siano SOLO RIGUARDANTI entita’ con le quali le nostre aziende hanno intrapreso relazioni amministrativo-contabili (presumo che cio’ possa essere tradotto con: fatture, bolle, etc). O forse tra tali dati privati si anniidano quasi sempre riferimenti ad entita’ che documenti amministrativi da noi non ne hanno mai ricevuti? (e, in tal caso, rientro nell’obbligo a pieno titolo) ?
Scritto il 6-8-2011 alle ore 17:02
Con la pubblicazione sulla G.U. (Serie Generale n. 160 del 12-7-2011) della legge 12 luglio 2011, n. 106 di conversione del D.L. n. 70/2011 (il cd. Decreto Sviluppo) che apporta anche rilevanti modifiche alle disposizioni del Codice della privacy riguardanti l’attività d’impresa e i rapporti tra gli operatori economici da parte di molti commentatori della legge si è detto semplicisticamente che il D.Lgs. n. 196/2003 non riguarda più i rapporti tra le imprese o addirittura… le imprese. In realtà non è per nulla così e la questione da lei posta è ancora molto controversa tra coloro i quali si occupano di privacy.
Sull’argomento è intervenuta recentemente la Confindustria con la circolare n. 19439 del 18 luglio u.s. degli Affari Legislativi che afferma che le nuove misure accolgono integralmente le proposte di semplificazione presentate da Confindustria negli ultimi anni. Le modifiche, tutte immediatamente applicabili, secondo Confindustria perseguono l’obiettivo di ridurre gli oneri burocratici imposti dal nostro legislatore, in particolare, sulle piccole e medie imprese e realizzano una vera e propria riforma della disciplina relativa ai trattamenti di dati personali effettuati dalle imprese.
Si tratta di un intervento legislativo complesso, infatti l’art. 6 del Decreto Sviluppo interviene su una serie di punti fondamentali della vigente normativa sulla tutela della privacy:
– dando una nuova definizione di “trattamenti effettuati per finalità amministrativo-contabili”;
– prevedendo la deroga all’ambito di applicazione del Codice della privacy per i trattamenti di dati effettuati nei rapporti business to business per finalità amministrativo-contabili;
– prevedendo una nuova ipotesi di esonero dal consenso in caso di comunicazione di dati effettuata nell’ambito di gruppi o di forme organizzate dell’attività d’impresa;
– prevedendo l’estensione dell’ambito di applicazione dell’autocertificazione sostitutiva del DPS al trattamento di dati collegati con la gestione del rapporto di lavoro;
– prevedendo l’esclusione dall’obbligo d’informativa e consenso per il trattamento di dati, comuni e sensibili, contenuti nei curricula trasmessi spontaneamente dall’interessato;
– estendendo il regime dell’opt-out previsto per le telefonate commerciali anche al marketing fatto tramite posta cartacea.
Quanto al primo punto e alla portata della definizione di “trattamenti effettuati per finalità amministrativo-contabili”, la circolare di Confindustria precisa che vi possono rientrare, tra gli altri, l’attivazione di sistemi di videosorveglianza per esigenze organizzative interne all’impresa, le attività precontrattuali che hanno come obiettivo la conclusione dell’accordo come ad esempio quelle relative alla selezione e alla qualificazione del contraente, le attività di gestione del personale che comportano, per esempio, il trattamento di dati relativi allo stato di salute dei lavoratori; eccetera.
Sono esclusi, invece, i trattamenti effettuati, ad esempio, per attività giornalistica, per scopi di comunicazione o promozione commerciale (invio di materiale pubblicitario o comunicazioni pubblicitarie, vendita diretta, compimento di sondaggi o ricerche di mercato, utilizzo di web-cam in luoghi pubblici), di selezione del personale per conto terzi, di analisi delle abitudini o delle scelte di consumo di terzi, di valutazione o monitoraggio circa la solvibilità economica, la situazione patrimoniale o il corretto adempimento di obbligazioni da parte di soggetti terzi rispetto alle proprie controparti commerciali.
Ovviamente, per quanto la fonte sia autorevole, si tratta solo di un’interpretazione della norma, sulla quale è auspicabile un intervento chiarificatore dell’Autorità Garante per la privacy, l’unico organismo in grado di fornire un’interpretazione autentica.
Nelle more di questo auspicabile intervento, io, come impresa, sarei estremamente cauto nel decidere di “archiviare il problema privacy”, sapendo quanto possano essere labili i confini tra i trattamenti di dati personali che rientrano nelle controverse “semplificazioni” introdotte dal D.L. n. 70/2011 e quelli che, invece, restano tuttora soggetti per intero al D.Lgs. n. 196/2003, compreso alle pesanti sanzioni previste dal Codice della privacy.
Scritto il 8-8-2011 alle ore 09:39
Tant’e’, Marcello: l’art 6 del Decreto Sviluppo sancisce il funerale del DLG 196 sulla privacy (nei rapporti tra imprese); e con esso il funerale di tutti gli investimenti di coloro che, pensando che tale decreto fosse serio (…e lo era!) avevano introdotto nuove procedure nella propria impresa per ottemperarvi o per creare soluzioni ad hoc per permettere ad altre imprese di farlo. C’e’ di buono che l’allegato B conteneva norme che al di la’ del DLG erano di “buon senso” e che molte imprese hanno avuto modo di “guardarsi dentro”. Ma piu’ di qualcuno si stara’ domandando : chi me l’ha fatto fare. E staro’ alla finestra a guardare la prossima normativa (sia essa un provvedimento aggiuntivo sull’Unico, o sullo stress correlato, etc.) quanto “attecchira’ “. Alzi la mano chi non sta pensando: tanto fara’ la fine del Dlg 196, meglio aspettare un po’….Storie d’Italia e di gestione delle cose all’italiana…..
Scritto il 8-8-2011 alle ore 09:55
Non sono d’accordo sul “funerale” della 196, il decreto sviluppo e le varie circolari conseguite non hanno abrogato la normativa ma tentano di semplificarla… inoltre, manca ancora un chiaro intervento del Garante (si spera ai primi di settembre) che possa chiarire una volta per tutte queste “ombre”
Scritto il 8-8-2011 alle ore 10:09
@Orazio
Questa indicazione (art.6):
“le comunicazioni relative alla riservatezza dei dati personali sono limitate alla tutela dei cittadini, conseguentemente non trovano applicazione nei rapporti tra imprese”
mi pare qualcosa di piu’ di un tentativo di semplificazione (evidentemente sto parlando di B2B).
Gia’ la semplificazione precedente (“fini amministrativo-contabili”) aveva di fatto reso inoperativa la legge per la gran parte delle imprese (ti assicuro che ogni volta che ho parlato di Privacy in un’impresa mi hanno sbattuto in faccia tale semplificazione e poco successo hanno avuto i miei tentativi di discutere la fondatezza di tale posizione). Figuriamoci l’articolo 6 sopra citato.
Scritto il 8-8-2011 alle ore 12:17
Sono tristemente d’accordo con Andrea B. Da quello che ho letto fino ad ora trattasi di “funerale” e non di “semplificazione”.
Per fortuna la privacy per me è quasi un hobby e ho altri interessi molto più gratificanti rispetto a dover sentire i commenti delle imprese mie clienti che hanno letto la notizia della morte della privacy sui giornali…
Essendo estate ora mi sto dedicando quasi a tempo pieno alle immersioni subacquee, poi a ottobre, quando tornerò ad occuparmi di privacy, vedrò che cosa sarà successo nel frattempo e deciderò se cessare definitivamente la mia attività di consulente (viste le scarse soddisfazioni ottenute è da un pò che ci sto pensando…).
Solo una riflessione. Ma siamo sicuri che il Signor Garante prenderà una posizione ufficiale e,soprattutto, che la sua voce sarà ascoltata dai nostri politici? Io… credo proprio di no!
Ormai il solito pateracchio all’italiana è stato fatto e credo che sarà difficile tornare indietro.
Scritto il 11-8-2011 alle ore 19:13
Come può un sistema di videosorveglianza che riprende oltre ai dipendenti di un’azienda anche altre persone fisiche come clienti, fornitori, corrieri, ecc, rientrare nei “trattamenti effettuati per finalità amministrativo-contabili” come da circolare di Confindustria?
Un sistema di videosorveglianza, anche non necessariamente che registra la ripresa video, può comunque consentire attraverso la consultazione di acquisire informazioni, anche in maniera involontaria, relativa ad usi e abitudini di un determinato soggetto, e attraverso la videoregistrazione si archiviano in modalità digitale anche questo genere di informazioni, oltre che immagini/fotogrammi dei soggetti privati in questione, e tali dati non hanno più nessun diritto di tutela? Personalmente, questa categoria di dati è sempre stata da me considerata quasi più che sensibile!
A mio parere se un’organizzazione aziendale è dotata di un sistema di videosorveglianza è comunque tenuta a redigere il DPS, anche in presenza delle recenti semplificazioni. Se così non fosse lo specifico Provvedimento del 2010 in materia di Videosorveglianza perderebbe parte della sua forza!
E’ accettabile che non sia più necessaria l’Informativa per i curricula che vengono ricevuti in azienda, e soprattutto che non sia più necessaria per la gestione dei rapporti tra soggetti giuridici (clienti / fornitori).
Nei casi di esonero dall’obbligo di redazione del DPS, sostituito dall’autocertificazione, si parla di dati sensibili e giudiziari di dipendenti, coniugi e familiari, e per tutti gli altri dati personali indipendentemente dalla loro natura se relativi a persone giuridiche trattati per le sole finalità amministrative-contabili, ma se riguardano persone fisiche, ad esempio clienti privati? E per questi clienti privati i dati ad esempio sono solo quelli necessari per la corretta esecuzione del contratto di compra-vendita? In questo caso, si rientra sempre nell’obbligo, visto che di obbligo trattasi, dell’autocertificazione?
Scritto il 12-8-2011 alle ore 10:12
Sul fatto che l’attività di videosorveglianza effettuata da un’impresa rientri nelle attività amministrativo-contabili personalmente – per quello che può valere – non sono assolutamente d’accordo, e mi piacerebbe sapere con quali argomentazioni Confindustria sostenga questa a mio avviso eccessiva forzatura…
Attenzione però Francesco alla definizione di “dato sensibile”, che è solo quella riferita ai dati tassativamente elencati nella lettera d) del primo comma dell’art. 4 del D.Lgs. 196/03!
Per quanto riguarda l’esonero dall’obbligo di redazione del DPS (sostituito dall’autocertificazione), i presupposti per la non applicazione del Codice della privacy (e non solo del DPS!) sono che:
– il trattamento riguardi dati personali relativi ad imprese (cioè persone giuridiche, imprese, enti, associazioni);
– il trattamento sia effettuato nell’ambito di rapporti intercorrenti tra tali soggetti;
– il trattamento sia effettuato per finalità c.d. amministrativo-contabili.
Il Decreto Sviluppo dà quindi una definizione dei trattamenti effettuati per finalità amministrativo-contabili, introducendo all’art. 34 il comma 1-ter che li individua in quei “…trattamenti connessi allo svolgimento di attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare includono tutte quelle attività organizzative interne all’impresa, funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro.”
A me questa definizione sembra abbastanza chiara e dal dato letterale sembrerebbe che le aziende che con la propria attività non si rivolgono direttamente al consumatore, ma operano esclusivamente con altre imprese, potranno non dover più sottostare agli adempimenti relativi al trattamento dei dati personali dei propri fornitori e clienti, cadendo sia l’obbligo di rilasciare l’informativa ex art. 13 del Codice, sia gli obblighi connessi alle misure di sicurezza (compresa la redazione del DPS), e rimanendo il Codice della privacy uno strumento destinato alla protezione della sola sfera della vita privata degli individui.
Si tratta a mio parere di un’esenzione davvero di carattere generale che però riduce e snatura la rilevanza della nozione stessa di “riservatezza”.
Mi sembra ovvio però, che l’esclusione dell’applicazione delle disposizioni del Codice non può ritenersi estesa a tutti quei casi in cui i dati dei clienti o fornitori siano oggetto di trattamento per finalità commerciali, pubblicitarie e promozionali. Sembra quindi che chi trarrà beneficio da queste semplificazioni saranno solamente quelle piccole attività d’impresa che effettuano trattamenti di dati riconducibili esclusivamente alla tenuta contabile ed all’adempimento contrattuale.
Un punto molto rilevante è la modifica del comma 1-bis dell’art. 34 il quale prevede ora che: “…per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dell’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell’allegato B).
In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrativo-contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l’innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all’adozione delle misure minime di cui al comma 1.”
Pertanto, sembrerebbe che rimaga soggetto all’obbligo di redazione del DPS soltanto chi tratta dati sensibili e/o giudiziari non relativi ai propri dipendenti.
C’è però da fare un’altra importante considerazione, e cioè che l’esenzione dal DPS prevista per i soggetti che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, non esime gli stessi soggetti dagli adempimenti più rilevanti ai fini della corretta applicazione del D.Lgs. 196/2003.
Infatti, i titolari del trattamento esentati dalla redazione del DPS a seguito del Decreto Sviluppo (o quelli che non lo erano già in precedenza, in quanto non trattavano dati sensibili o giudiziari in formato elettronico) dovranno in ogni caso :
– fornire l’informativa prevista dall’art. 13 del Codice;
– raccogliere il consenso degli interessati, quando necessario;
– nominare per iscritto le persone fisiche autorizzate al trattamento dei dati, definendo l’ambito di operatività degli stessi e fornendo le istruzioni per la gestione dei dati che vengono a loro affidati (art. 30);
– nominare per iscritto gli eventuali responsabili del trattamento, anche esterni (art. 29);
– adottare tutte le misure minime di sicurezza previste dagli artt. 33, 34 e 35 del Codice, ad eccezione del DPS;
– assolvere agli obblighi derivati dal provvedimento sull’individuazione degli amministratori di sistema;
– assolvere agli obblighi derivati dal provvedimento sulla videosorveglianza.
E’ quindi evidente che l’individuazione delle misure di sicurezza e la gestione delle procedure di sicurezza aziendali, indipendentemente dalla redazione del DPS, implicano una conoscenza della normativa sulla tutela della privacy e l’adozione di policy aziendali che non sono finalizzate esclusivamente all’applicazione di una disposizione di legge, ma soprattutto a tutelare il titolare del trattamento da danni derivanti dalla scorretta gestione dei dati personali, e da possibili richieste di risarcimento danni per trattamenti non conformi alla legge.
Ne consegue – a mio avviso – che il titolare del trattamento consapevole dei rischi che una non corretta gestione dei dati comporta, dovrebbe continuare a considerare con estrema attenzione la normativa sulla protezione del trattamento dei dati personali, anche nel caso in cui non fosse effettivamente tenuto a redigere il proprio DPS.
E’ chiaro che su tutta questa tematica l’unica interpretazione “autentica” la potrà dare il Garante per la privacy, ma mi domando come si coordineranno queste norme con la sussistenza di altri principi generali del nostro ordinamento giuridico che garantiscono la tutela della riservatezza, anche con la previsione di fattispecie penali…?!
Staremo a vedere…
Scritto il 20-8-2011 alle ore 00:57
Buongiorno, ho letto attentamente il post ed i vari commenti sulle semplificazioni della legge sulla privacy. Alcune cose non mi sono chiare… Io sono ADS della mia azienda che ha un fatturato di circa 80mln e 250 dipendenti. Utilizziamo sistemi ERP ed ovviamente database ma non abbiamo alcun dato sensibile o personale di soggetti privati.
Le domande che vi rivolgo sono le seguenti:
Posso ritenermi sollevato dalla redazione del DPS?
Come può esistere una distinzione tra piccola impresa o grande impresa se i dati trattati sono i medesimi solo in volume maggiore?
Perché una piccola impresa non dovrebbe avere un ADS? In teoria ogni sistema informatico prevede l’esistenza di un profilo administrator con pieni poteri sui dati!
Nel caso il tipo di dati trattati ci consentisse di non redigere il DPS, possiamo anche non “loggare” l’amministratore?
Ultima domanda forse più complessa: se il responsabile del trattamento in un eccesso di zelo obbligasse a tracciare l’intera attività degli ADS sui sistemi e non solo gli eventi di log in e log out potrebbe incorrere in sanzioni per aver registrato attività lavorative?
Ringrazio chi volesse gettare un po’ di luce in questi dubbi ferragostani!
Scritto il 20-8-2011 alle ore 10:29
Rispondo prima alla sua ultima domanda.
Come già detto nel blog di Michele Iaselli, la nomina dell’ADS NON è obbligatoria (intendo dire che il titolare non è “obbligato” a nominare un ADS da alcuna norma positiva), ma si tratta di una figura di carattere “tecnico” utile nelle realtà dotate di un sistema informativo complesso.
Qualora il titolare decidesse di nominare un ADS, non avrebbe certamente l’obbligo, ai sensi del provv. gen. del 27 novembre 2008 del Garante, di loggare TUTTA la sua attività, ma solo i suoi accessi alle basi dati. Se invece il titolare tracciasse l’intera attività degli ADS sui sistemi, potrebbe effettivamente ravvisarsi un’attività di controllo a distanza dell’attività lavorativa, espressamente vietata dall’art. 4 della legge n. 300/70.
Già nelle risposte alle FAQ fornite nell’aprile del 2009 il Garante per la privacy aveva chiarito che i titolari del trattamento destinatari del provvedimento sugli ADS devono adottare idonee cautele volte a prevenire e ad accertare eventuali accessi non consentiti ai dati personali da parte degli ADS stessi, precisando che “il titolare è tenuto a registrare SOLO gli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte dell’ADS e NON anche i dati sull’attività interattiva (tipo comandi impartiti, transazioni effettuate, ecc.), dato che quest’ultima registrazione potrebbe contrastare con il divieto di controlli a distanza sull’attività dei lavoratori previsto dallo Statuto dei lavoratori (legge n. 300/70)”.
L’Autorità Garante ha pertanto precisato che il titolare è tenuto a registrare tutti gli accessi, i tentativi di accesso e le disconnessioni ai sistemi di elaborazione (non solo quelli al server, ma anche quelli alle postazioni client), a software e a data base. Non è richiesta una raccolta d’informazioni più ampia, ma di sicuro questa non è in contrasto con il provvedimento del Garante. Inoltre, le registrazioni devono essere non modificabili ed è rimessa al titolare del trattamento la valutazione sulla verifica della loro integrità. In particolare, vanno valutate anomalie nella frequenza degli accessi e nelle loro modalità (orari, durata, sistemi oggetto dell’accesso, ecc.) e l’analisi dei log file va ricompresa tra i criteri di valutazione dell’operato degli ADS da parte del titolare del trattamento. Infine, il Garante ha precisato che questi requisiti di sicurezza richiesti dal suo provvedimento generalmente sono soddisfatti tramite funzionalità presenti nei più diffusi sistemi operativi, senza che sia necessario ricorrere a hardware e/o software aggiuntivi e che pertanto spetta alla valutazione del titolare decidere se utilizzare eventuali strumenti aggiuntivi.
Quindi, vanno innanzitutto valutati attentamente alcuni elementi, ponendosi delle domande:
1° la nomina dell’ADS è proprio necessaria?
2° che cosa effettivamente viene tracciato dell’attività svolta dall’ADS?
Quanto al primo punto (e con ciò cerco di dare una risposta anche alla sua domanda “Perché una piccola impresa non dovrebbe avere un ADS?”), va ricordato che in un comunicato stampa diffuso il 10 dicembre 2009 il Garante, ha precisato che le prescrizioni del provv. gen. del 27 novembre 2008 riguardano solo quei soggetti che, nel trattare i dati personali con strumenti informatici, fanno ricorso alla figura professionale dell’ADS o a una figura equivalente e che tali disposizioni non si applicano a quei soggetti che, generalmente dotati di sistemi informatici di modesta e limitata entità e comunque non particolarmente complessi, possano fare a meno di un ADS o comunque abbiano ritenuto di non farvi ricorso.
La definizione dell’ADS nel provvedimento del Garante per la privacy è abbastanza chiara, ed è la stessa Autorità ad affermare che, “in assenza di definizioni normative e tecniche condivise, nell’ambito del provvedimento del 27 novembre 2008 l’ADS è inteso come quella figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali. Si tratta quindi di quei soggetti interni o esterni all’azienda che hanno delle funzioni tecniche corrispondenti o assimilabili a quelle di amministratore di sistema (system administrator), amministratore di base di dati (database administrator) o amministratore di rete (network administrator), laddove tali funzioni siano esercitate in un contesto che renda ad essi tecnicamente possibile l’accesso, anche fortuito, a dati personali di clienti, fornitori e dipendenti”.
La sostanza, quindi, sta tutta qui: è possibile che nello svolgimento della sua attività tecnica l’ADS possa avere accesso, anche fortuitamente, a dati personali di clienti, fornitori e dipendenti e possa (se lo voglia) intervenire sui dati ad es. copiandoli o modificandoli? Infatti, le misure introdotte dal Garante servivano proprio a prevenire il rischio di accessi non consentiti ai dati realizzati dagli ADS abusando delle loro prerogative e capacità tecniche.
Bisogna però tenere presenti anche le semplificazioni introdotte dal Garante con il provv. gen. del 25 giugno 2009, emanato per rendere più agevoli per le imprese i nuovi adempimenti relativi agli ADS. Questo provvedimento, tra l’altro, aveva sostituito l’obbligo di inserire l’elenco degli amministratori di sistema nel DPS, stabilendo che tale elenco poteva essere conservato in un apposito documento che il titolare del trattamento deve conservare separatamente.
Il nuovo provvedimento del Garante, inoltre, aveva potenziato il ruolo del “responsabile del trattamento” all’interno dell’organizzazione aziendale, prevedendo che anche questa figura (e non soltanto il titolare) potesse svolgere l’attività annuale di verifica sull’operato degli ADS per quanto riguarda il pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza (Ricordiamo che il provvedimento del novembre 2008 riguardava anche l’obbligo per il titolare di verificare, con cadenza almeno annuale, l’operato dell’ADS, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza per i trattamenti dei dati personali previste dalle norme vigenti).
Queste eventuali nuove attribuzioni del responsabile del trattamento relative all’attuazione delle prescrizioni sull’ADS era previsto che dovessero essere formalizzate o nella lettera di nomina come “responsabile del trattamento” oppure tramite opportune clausole contrattuali.
In ogni caso, già il provv. gen. del 27 novembre 2008 sugli ADS prevedeva un esonero dall’applicazione per i titolari di trattamenti che trattavano soltanto dati sensibili dei propri lavoratori relativi al loro stato di salute (senza la relativa diagnosi), ovvero all’adesione ai sindacati e per i titolari che trattavano dati solamente per le correnti finalità amministrative e contabili, poiché, a detta del Garante, tali trattamenti di dati comportano minori rischi per gli interessati.
Con le modifiche al Codice della privacy introdotte dall’art. 6, comma 2, del c.d. Decreto Sviluppo (D.L. 13 maggio 2011 n. 70 convertito nella legge 12 luglio 2011, n. 106) per ridurre gli oneri derivanti dalla normativa sulla privacy gravanti in particolare sulle piccole e medie imprese con struttura amministrativa snella, si è esclusa l’applicazione del Codice nel caso di trattamento di dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito dei rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo-contabili. Questa deroga quindi,non riguarda qualsiasi attività o trattamento di dati realizzati dalle imprese, ma riguarda esclusivamente gli ordinari rapporti commerciali tra imprese, nell’ambito dei quali non sono più necessari gli obblighi di informativa e consenso, le eventuali nomine dei responsabili del trattamento e l’adozione di tutte le misure minime di sicurezza previste.
Inoltre, è stato modificato il comma 1-bis dell’art. 34 del Codice (introdotto dall’art. 29 del D.L. n. 112/2008, convertito dalla legge n. 133/2008), che disciplina l’autocertificazione sostitutiva del DPS, estendendo l’ambito oggettivo di applicazione dell’autocertificazione sostitutiva del DPS ai trattamenti con strumenti elettronici di qualsiasi tipologia di dati (cioè comuni, sensibili e giudiziari), connessi alla gestione del rapporto di lavoro. Quest’autocertificazione deve attestare che il titolare tratta solo dati personali comuni e come unici dati sensibili e giudiziari quelli connessi alla gestione del rapporto di lavoro, in osservanza delle sole misure minime di sicurezza previste dall’art. 34 del Codice e dall’allegato B) contenente il Disciplinare Tecnico sulle misure di sicurezza.
Tra tali “misure minime” non vi è la nomina dell’ADS, che quindi rimane facoltativa, ed è necessaria solo qualora ne ricorrano le condizioni (cioè nel caso di realtà dotate di un sistema informativo complesso), con conseguente obbligo di loggare quanto previsto dal provvedimento del 2008 del Garante.
Sperando di aver fatto un pò di luce… me ne ritorno sotto l’ombrellone… o meglio… sott’acqua!
Scritto il 20-8-2011 alle ore 15:51
Mi permetto di fare due precisazioni cercando di essere breve.
Gli elementi da valutare per capire se sussiste la necessità di effettuare la nomina ad ADS sono i seguenti:
1) avere personale dedicato alle funzioni IT in azienda;
2) effettuare trattamenti di dati personali anche per finalità diverse da quelle cd. amministrativo contabili
Devono verificarsi entrambi questi presupposti per dover effettuare la nomina degli ADS (che sono da individuare in tutte le persone fisiche a cui sono attribuite credenziali in grado di bypassare meccanismi di autorizzazione, quindi coloro che hanno un utente di tipo “Administartor”, root, etc).
La natura dei dati non discrimina la nomina degli ADS, quindi per assurdo posso non fare il DPS e nominare gli ADS.
Per il DPS, invece, se gli unici dati sensibili e giudiziari sono quelli connessi alla gestione del rapporto di lavoro, lo stesso DPS può essere tranquillamente sostituito dall’autocertificazione.
Bisogna però fare una attenta analisi dei trattamenti effettuati per non rischiare di dichiarare il falso, il che comporta conseguenze penali.
Rispetto alla distinzione tra piccola e grande impresa che trattano la stessa tipologia di dati, se si vuol ridurre la questione ai “volumi di dati”, il volume di dati da un punto di vista “privacy” risiede nel fatto che gli effetti di una violazione interesserebbe un numero di interessati rilevante (trattati da una grande impresa) rispetto ad un numero di interessati più contenuto (trattati presumibilmente da una piccola impresa). Quindi il punto è il diverso impatto di una violazione.
In ogni caso per capire se una semplificazione od un obbligo sono in capo solo ad una categoria di imprese e non a tutte, bisogna leggere attentamente i termini utilizzati. A mio parere quando è presente (nei provvedimenti di semplificazione, ad esempio) la dicitura “in particolare presso piccole e medie imprese” non la leggerei come “esclusivamente preso piccole e medie imprese”, quindi perché dare per scontato che le imprese più grandi non possano beneficiare di tali semplificazioni?
Il problema è un’altro: senza una attenta analisi ed una appropriata indagine interna, spesso si crede di non effettuare trattamenti diversi da quelli amministrativo contabili, sbagliando.
Quindi occhi aperti a quello che si dichiara.
Lino Fornaro
Scritto il 21-8-2011 alle ore 09:20
Condivido pienamente le precisazioni di Lino Fornaro!
In fondo, ha detto con parole più “tecniche” quello che io non sono riuscito bene ad esprimere…
Riassumendo:
1 – le dimensioni dell’impresa non hanno rilevanza: ciò che conta è la tipologia di dati trattati e di trattamenti effettuati;
2 – la nomina dell’ADS (che rimane facoltativa) dipende dalla tipologia di trattamenti che sono effettuati e dal tipo di dati trattati
3 – l’obbligo di redigere il DPS non ha nulla a che vedere con la presenza o no di un ADS formalmente nominato: vale sempre quanto indicato al puto 1
4 – in definitiva, prima di “semplificare” occorre valutare attentamente le tipologie di dati trattati e le finalità dei trattamenti effettuati su di essi.
Scritto il 6-9-2011 alle ore 16:27
“Il trattamento sia effettuato nell’ambito di rapporti intercorrenti tra tali soggetti” è una delle tre condizioni di non applicabilità del Codice Privacy, ma se tali dati li comunicassi ad un Soggetto Terzo, es. Studio Legale per il recupero crediti? Cambierebbe qualcosa?
E se li comunicassi all’ Estero?
Oppure, se tali dati li diffondessi (tramite pubblicazione on-line sul sito aziendale)?
Nel caso di trattamento dei dati per finalità amministrativo-contabili si parla di organizzazioni interne aziendali. Se ci fossero dei Responsabili Esterni di trattamento e tali dati non venissero pertanto trattati solo ed esclusivamente all’interno dell’azienda, rientrerei ancora nelle nuove semplificazioni, es. esonero di tenuta / aggiornamento del DPS?
E se i dati del personale dipendente venissero comunicati all’Estero, e tra questi anche informazioni idonee a rivelare lo stao di salute attuale e passato?
Scritto il 10-9-2011 alle ore 22:14
Caro Francesco, come vede i casi dubbi sono parecchi e sarebbe quanto mai opprtuno che il Garante per la privacy facesse chiarezza dando una su interpretazione autentica del provvedimento di “semplificazione”.
La mia personale opinione in materia, a questo punto conta ben poco!
Non ci resta che attendere…
Scritto il 12-10-2011 alle ore 10:15
Vorrei sottoporle un paio di quesiti per i quali, se possibile, vorrei un Suo parere:
1. in merito all’esonoero di informativa tra persone giuridiche appena introdotto, nel caso di diffusione di dati di natura comune relativi ad aziende partner tramite un periodico informativo di settore e tramite pubblicazione sul sito aziendale si è comunque tenuti a rendere nota l’informativa e richiedere il consenso?
2. l’azienda produttrice dei badge per le presenze del personale dipendente e all’azienda di sicurezza sul lavoro alle quali si comunicano solo nome e cognome dei dipendenti dovranno comunque essere nominate come Responsabili Esterni di Trattamento?
Scritto il 12-10-2011 alle ore 17:50
Buonasera Francesco.
Sulla risposta alla sua seconda domanda non ho dubbi: è sempre FACOLTA’ del titolare del trattamento dei dati personali nominare formalmente uno o più “responsabili del trattamento” interni o esterni alla propria organizzazione, nel caso in cui sia loro affidato uno specifico trattamento di dati personali. Nei casi da lei proposti francamente non vedo questa necessità.
Sulla sua prima domanda invece, ho qualche perplessità…
La diffusione dei dati personali (cioè la loro messa a disposizione di soggetti indeterminati) è un trattamento piuttosto delicato; inoltre, non ritengo che tale diffusione tramite il periodico di settore e il sito aziendale rientri tra le finalità “amministrativo-contabili” alle quali fa riferimento il recente provvedimento di semplificazione.
Pertanto – a mio parere – nel caso da lei proposto sarebbero necessari un’informativa e un consenso specifico alla diffusione dei dati.
Scritto il 31-8-2012 alle ore 12:23
Salve, la ns. azienda si occupa dell’installazione di impianti elettrici civili e industriali. Abbiamo circa una dozzina di dipendenti.
I dati di tipo sensibile che trattiamo anche con strumenti elettronici sono relativi al personale dipendente per la gestione delle presenze con giustificativi (visita medica, infortunio, malattia, ecc.) ed i cedolini paghe.
Inoltre, trattiamo in digitale anche le foto-tessere di ognuno dei ns. dipendenti, le loro carte di identità, e i cartellini di riconoscimento con foto e dati ai fini degli accessi nei cantieri (come previsto dalle disposizioni di legge in materia di sicurezza sul lavoro).
E’ in funzione presso la ns. sede un sistema di videosorveglianza, senza registazioni, solo consultazione di immagini.
La ns. azienda sarebbe tenuta ad ottemperare agli obblighi previsti dal Provvedimento in materia di Amministratori di Sistema?
La ringrazio anticipatamente per la Sua disponibilità.
Cordiali saluti.
Scritto il 31-8-2012 alle ore 18:23
Tutto quello che lei ha descritto Antonio rientra nella normale gestione dei rapporti di lavoro del proprio personale, trattandosi di trattamenti effettuati per finalità amministrativo-contabili.
Il provvedimento del Garante del 2008 assoggetta il titolare del trattamento dei dati all’obbligo di designare per iscritto l’amministratore di sistema (ADS) quando in azienda o al suo esternoesiste una figura professionale di carattere tecnico che è dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali. Tra questi sono compresi i sistemi di gestione dei data base, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui essi consentano di intervenire sui dati personali. Infatti, l’attività dell’ADS comporta l’accesso (anche fortuito) a informazioni o dati personali e tale accesso rappresenta a tutti gli effetti un “trattamento” di dati personali. Non sono considerati ADS invece, quei soggetti che solo occasionalmente intervengono su sistemi e software (ad esempio per scopi di manutenzione a seguito di guasti o malfunzionamenti).
Non mi sembra che nel caso da lei descritto sia necessario nominare un ADS.
Scritto il 1-9-2012 alle ore 13:20
Grazie per la Sua rapida risposta.
La ns. struttura it è costituita da un server, una decina di client e un paio di smartphone per accedere ai dati da remoto.
In essere è presente un contratto di manutenzione con una società per l’assistenza tecnica del ns. sistema informatico, e un altro contratto per il ns. gstionale con il quale trattatiamo anche le presenze e relativi giustificativi del nd. personale.
Di fatto ci sono un paio di amministratori che direttamente e/o indirettamente potrebbero accedere a tali dati sensibili.
Ritiene ancora che non siamo tenuti ad ottemperare a tale provvediemnto?
Grazie.
Scritto il 3-9-2012 alle ore 17:04
Antonio, stanti le sue precisazioni, ritengo che sarebbe opportuno nominare le due società esterne che possono avere accesso ai dati del vostro personale ADS esterni, ed ottemperare a tutto quanto previsto dal provvedimento del Garante, rispettando le indicazioni dallo stesso fornite in risposta alle FAQ ulla materia.
Scritto il 4-9-2012 alle ore 12:19
Salve, nel frattempo ho avuto occasione di leggere della documentazione a riguardo.
Mi è sembrato di capire che tale provvedimento si applica prevalentemente per la tutela dei dati dei lavoratori e del personale dipendente e non per dati che vengono trattati per finalità contabili-amministrative.
Nel ns. caso specifico la finalità del trattamento dei dati del ns. personale dipendente non è di tipo contabile-amministrativo? Se si, allora rientriamo nei casi di esclusione?
Trattando tali dati anche per espletare gli obbilighi della normativa vigente in materia di sicurezza sul lavoro, tale finalità è da considerarsi diversa da quella contabile-amministrativa poichè ci porta ad adempiere ad altro tipo di obbligo? Se diversa come finalità, allora saremmo cmq tenuti a recepire tale provvedimento?
Chiedo scusa, ma è davvero complicato districarsi tra il codice privacy, tale provvedimento e tutte le relative semplificazionioni.
La ringrazio anticipatamente per la sua disponibilità.
Buona giornata.
Scritto il 4-9-2012 alle ore 19:02
Antonio, come lei ha detto il provv. del Garante relativo agli ADS ha proprio la finalità di evitare che Que4sti, nello svolgimento dei loro normali compiti di carattere tecnico possano accedere a dati particolarmente riservati, come quelli relativi al personale dipendente, apprendendo informazioni che non li riguardano. Di qui la necessità di monitorare attraverso i log files tuttal’attività svolta dagli ADS.
Scritto il 11-9-2012 alle ore 17:32
Salve,
sono titolare di un piccolo studio legale della provincia di Milano.
Lo scorso anno, tramite un consulente privacy, ho provveduto all’analisi dei rischi, la redazione del D.P.S., all’introduzione di alcune misure di sicurezza (informatiche e non solo).
In questi giorni, lo stesso consulente privacy mi propone di verificare e aggiornare la documentazione redatta lo scorso anno.
Molti miei colleghi si avvalgono dell’autocertificazione.
Cosa dovrei fare? La ringrazio anticipatamente per la Sua disponibilità.
Cordiali saluti.
Scritto il 11-9-2012 alle ore 18:11
Gentile avvocato, l’autocertificazione venne introdotta dall’art. 29, comma 1, del D.L. n. 112/08, convertito in L. n. 133/08 (che ha aggiunto il comma 1-bis all’art. 34 del D.Lgs. 30 giugno 2003, n. 196 – Codice in materia di protezione dei dati personali) e riguardava principalmente le piccole imprese.
Con essa il titolare del trattamento dichiarava di trattare soltanto dati personali “non sensibili” e che gli unici dati “sensibili” trattati erano quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall’eventuale adesione ad organizzazioni sindacali o a carattere sindacale. Inoltre il titolare dichiarava di trattare tali dati in osservanza di tutte le altre misure minime di sicurezza prescritte dall’art. 34 del D.Lgs. n. 196/03 ad eccezione della redazione del DPS – Documento Programmatico sulla Sicurezza, come previsto dal citato art. 29 della L. n. 133/08.
Il comma 1-bis dell’art. 34 del Codice della privacy è stato soppresso dall’art. 46 del D.L. 27 gennaio 2012 sulle semplificazioni del Governo Monti (lo stesso decreto che ha abolito il DPS); pertanto oggi non esiste più la possibilità dell’autocertificazione.
L’abrogazione dell’autocertificazione e del DPS non comporta però l’abrogazione delle norme del Codice della privacy, infatti, sono rimaste invariate le norme riguardanti :
1. Incaricati del trattamento (art. 30 D.Lgs.1 96/2003): devono essere designati per iscritto e nella designazione deve essere puntualmente individuato l’ambito di trattamento consentito.
2. Responsabili del trattamento (art.29 D.Lgs. 196/2003)
I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare.
Il responsabile(se nominato) effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni.
3. Obblighi di sicurezza (art.31 D.Lgs. 196/2003) Obbligo del titolare di adottare tutte le misure idonee a prevenire rischi di distruzione o perdita, anche accidentale dei dati ,accesso non autorizzato o non consentito o non conforme alla finalità della raccolta.
4. Misure minime obbligatorie (artt. 34 e 35 D.Lgs. 196/2003)
a) Autenticazione informatica
b) Adozione di procedure per la gestione delle credenziali di autenticazione
c) Utilizzazione di un sistema di autorizzazione
d) Aggiornamento periodico dell’ambito di trattamento consentito ai singoli incaricati ed addetti alla gestione o alla manutenzione degli strumenti elettronici
e) Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ed accessi non consentiti a determinati programmi informatici
f) Adozione di procedure per la custodia delle copie di sicurezza, il ripristino e la disponibilità dei dati
g) Previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento di relativi compiti;
h) Previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzate all’identificazione degli incaricati.
Restano inoltre in vigore tutte le altre norme relative a :
• Adempimenti e attribuzioni dell’amministratore di sistema
• Adempimenti per la videosorveglianza
• Adempimenti relativi al regolamento per l’uso dei sistemi informativi aziendali
• Adempimenti relativi al trattamento dei dati dei dipendenti nei rapporti di lavoro.
In definitiva, il DPS, a mio modesto avviso, deve essere sostituito da un “Regolamento privacy “ che deve essere costantemente aggiornato nel corso dell’intero anno (al contrario del DPS che aveva una scadenza temporale definita al 31 marzo), per monitorare la sicurezza del trattamento dei dati personali.
La redazione del regolamento non è specificatamente indicata da una norma del Codice ma appare come una logica conseguenza per poter riepilogare l’assolvimento di tutti gli obblighi sopra richiamati. Si tratta in sostanza di un “regolamento” a prova di verifica ed opponibile a tutti quei soggetti che dovessero chiamare in causa il titolare come indicato all’art. 15 del D.Lgs.196/2003 che prevede il risarcimento del danno anche non patrimoniale cagionato ad altri per effetto del trattamento, ai sensi dell’art. 2050 c.c.
Molti consulenti privacy scrupolosi sono soliti proporre ai propri clienti, in sostituzione del DPS un check up completo 8annuale) sull’applicazione del Codice della privacy