27 dicembre 2011
La privacy dopo il decreto Monti. Cosa è cambiato?
Come era prevedibile, il cosiddetto “decreto salva Italia” del Governo Monti ha ottenuto la fiducia in Parlamento ed è stato convertito in legge dello stato. Il comma 2 dell’art. 40 del D.L. 6 dicembre 2011 n. 201 è rimasto invariato nel passaggio dalle due Camere, perciò adesso il quadro legislativo riguardante le modifiche al Codice della privacy è chiaro e definito.
Ma allora – ci si domanda – questi benedetti oneri in materia di privacy sono stati ridotti o no? Molto poco direi. Nonostante i giornali abbiano pubblicato titoli che annunciavano la fine del Codice della privacy congratulandosi con il Governo per le notevoli semplificazioni per le imprese, nella sostanza non è cambiato quasi niente. Sì, è vero, è stata cambiata la definizione di “interessato” contenuta nell’art. 4 del D.Lgs. 196/03 e quindi adesso la privacy riguarda (giustamente) solo i dati personali delle persone fisiche, ma che cosa cambia per le imprese? Poco o nulla. Infatti, i dati che l’impresa gestisce nella pratica quotidiana non sono mai solo dati di persone giuridiche, ma sono anche dati relativi alle persone fisiche che in esse e con esse operano, e, naturalmente sono i dati dei propri dipendenti e collaboratori.
L’aver escluso dal concetto di” interessato” le persone giuridiche, quindi, permetterà vantaggi alle imprese solo nella gestione dei loro rapporti commerciali. Non ci sarà più la necessità di raccogliere il consenso preventivo per contattate un’azienda per qualunque motivo. Le informative alle persone giuridiche d’ora in poi si riferiranno solo ai dati dei referenti interni, cioè delle persone fisiche che si trovano all’interno delle imprese, enti o associazioni con le quali l’azienda si rapporta. Ma oltre a questo cambierà ben poco.
Rimane innanzitutto l’obbligo di dare l’informativa e di ricevere il consenso per il trattamento dei dati personali delle persone fisiche, cioè dipendenti e collaboratori, fornitori, professionisti, imprese individuali e familiari e anche clienti, se questi ultimi sono persone fisiche. Rimane poi l’obbligo di redazione del DPS per l’impresa che tratta dati sensibili di persone fisiche (ad es. i dipendenti e/o i loro familiari) avvalendosi di strumenti elettronici (computer, fax, posta elettronica, ecc.), ma soprattutto rimane l’obbligo di applicare tutte le misure minime di sicurezza previste dal D.Lgs. 196/03 e dal Disciplinare tecnico ad esso allegato.
Inoltre, c’è da notare che fortunatamente l’intervento legislativo ha lasciato inalterato (probabilmente per una svista…) l’art. 4 comma 2 lettera f) del Codice della privacy. Perciò è rimasto un certo margine di tutela contro lo “spam” anche per tutti quei soggetti, diversi dalle persone fisiche, che rientrano nella definizione di “abbonato”, cioè “qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate”. Questa norma, per il combinato disposto con gli artt. 129 e 130 comma 3-bis del D.Lgs. 196/03, garantisce che, relativamente ai trattamenti per finalità di marketing, il regime di opposizione e di iscrizione nell’apposito registro (la cosiddetta “Lista Robinson”) continuerà ad applicarsi anche alle persone giuridiche. La legge prevede che gli abbonati che non desiderano ricevere telefonate pubblicitarie possano iscriversi al Registro delle opposizioni, e che le società che operano nel settore del telemarketing non possono contattare i numeri degli abbonati iscritti in tale registro.
Scritto il 9-1-2012 alle ore 21:50
[…] Come era prevedibile, il cosiddetto “decreto salva Italia” del Governo Monti ha ottenuto la fidu… […]
Scritto il 15-1-2012 alle ore 16:57
riporto un passo del suo post
… rimane poi l’obbligo di redazione del DPS per l’impresa che tratta dati sensibili di persone fisiche (ad es. i dipendenti e/o i loro familiari) avvalendosi di strumenti elettronici (computer, fax, posta elettronica, ecc.)…
non era ad esclusione di quelli dei dipendenti e loro familiari. E’ un refuso o mi sono perso qualche passaggio?
Saluti e complimenti per il blog
Scritto il 15-1-2012 alle ore 20:53
L’art. 29 del D.L. n. 112/2008, convertito dalla legge n. 133 del 6 agosto 2008 ha modificato il D.Lgs. n. 196/2003 (Codice della privacy) prevedendo, con una modifica all’art. 34, dei casi di esonero dalla redazione e aggiornamento del DPS.
I casi previsti riguardano la gestione dei rapporti di lavoro comunque denominati.
Può usufruire dell’esonero (art. 34, comma 1-bis) chi tratta:
• solo dati diversi da quelli sensibili e giudiziari
• dati diversi da quelli sensibili e giudiziari e dati sensibili costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, e dall’adesione ad organizzazioni sindacali o a carattere sindacale.
• dati diversi da quelli sensibili e giudiziari e dati sensibili costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi
• dati diversi da quelli sensibili e giudiziari e dati sensibili costituiti dall’adesione ad organizzazioni sindacali o a carattere sindacale.
Rientrano nei trattamenti di dati sanitari compresi nella semplificazione quelli attinenti verifiche sanitarie:
• in occasione dell’instaurazione del rapporto di lavoro
• nel corso del rapporto di lavoro (ad esempio idoneità al servizio)
• connesse a pratiche di infortunio
• connesse a pratiche assicurative del dipendente/collaboratore
• connesse a pratiche di risarcimento del danno subito dal dipendente/collaboratore
• connesse a istituti contrattuali (permessi, indennità, promozioni, ecc.)
• connesse a procedimenti disciplinari.
La semplificazione riguarda inoltre il trattamento dei dati relativi all’adesione ad organizzazioni sindacali o a carattere sindacale. Questa agevolazione è tagliata su misura per i datori di lavoro, chiamati a osservare istituti normativi e contrattuali collegati all’esercizio dei diritti sindacali. La normativa trova la sua applicazione, ad esempio, con riferimento al riconoscimento della motivazione sindacale per il riconoscimento di permessi e assenze o per l’esercizio delle libertà sindacali di riunione o proselitismo anche mediante affissione di avvisi nelle bacheche aziendali e ancora per la gestione delle trattenute sulle buste paga e anche per il trattamento dei dati dei lavoratori in occasione di procedimenti disciplinari.
Attenzione però! Non può usufruire dell’esonero chi tratta:
• dati sensibili ulteriori rispetto a quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, e dall’adesione ad organizzazioni sindacali o a carattere sindacale;
• dati diversi da quelli sensibili e giudiziari e dati sensibili costituiti dallo stato di salute o malattia di soggetti terzi rispetto a propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi (ad esempio familiari o danneggiati);
• dati giudiziari;
• dati sensibili costituiti dall’adesione ad organizzazioni politiche o a carattere politico.
La fruizione dell’esonero non è testualmente subordinata al riscontro di particolari finalità del trattamento anche se è abbastanza evidente che le finalità non possono che essere connesse alla gestione dei rapporti di lavoro. Si può quindi concludere che eventuali trattamenti di dati, oggettivamente rientranti nell’ipotesi di esonero, non potranno fruire dell’esonero stesso se le finalità perseguite sono diverse da quelle relative alla gestione del rapporto di lavoro.
Chi rientra nelle condizioni per fruire dall’esonero non è tenuto a elaborare il DPS e neppure ad aggiornarlo entro il 31 marzo di ogni anno. Chi vuole fruire dell’agevolazione (che naturalmente non è obbligatoria), oltre a possedere i requisiti descritti quanto a tipologia di trattamenti, deve fare un’autocertificazione (cioè una dichiarazione sostitutiva di atto di notorietà, ai sensi dell’articolo 47 del T.U. di cui al D.P.R. 28 dicembre 2000, n. 445), nella quale deve attestare il possesso dei requisiti medesimi e attestare anche di avere posto in essere tutte le altre misure di sicurezza prescritte in relazione ai trattamenti di dati effettivamente praticati (almeno le cd. misure “minime” elencate nell’allegato B) al D.Lgs. 196/03 ).
Scritto il 30-1-2012 alle ore 20:38
Buongiorno,
articolo esteso ma mi permetto di dire impreciso..
le consiglio di andare a leggere il testo consolidato vigente del Codice che integra già sia il decreto Monti sia il decreto del 13/05/11…
Vedrà come i commi bis e ter dell’art.34 dipanano chiaramente la questione dell’obbligo o meno del DPS.
In sintesi qualsiasi società che tratti come unici dati sensibili/giudiziari quelli dei propri dipendenti e relativi familiari può fare a meno del DPS e ricorrere all’autocertificazione, non dimenticando di adempiere alle misure minime informatiche.
Inoltre Lei parla di obbligo di consenso al trattamento dei dati, perfino tra persone giuridiche in passato.. questione già dipananta dal Garante col provvedimento del 19/06/08 che semplificava la pratica dello scambio di informative tra società e comunque mai è stato necessario il consenso per il trattamento di dati personali comuni (cioè anagrafica per esempio).
Infine il consenso al trattamento da parte di un dipendente/collaboratore non è un obbligo, anche in caso di dati sensibili, come recitano i punti A e B dell’Art.24 e Punto D Comma 4 Art.26 del Codice privacy.
Scritto il 30-1-2012 alle ore 21:17
Buonasera Davide e grazie per le “precisazioni”, ma mi sa che è Lei che non si è aggiornato….
Le riporto integralmente il testo di un articolo che fa parte del decreto legge approvato venerdì 27 gennaio u.s. dal Consiglio dei Ministri (il cd. Decreto Semplificazioni):
Art. 47 – (Semplificazioni in materia di dati personali)
1. Al decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:
a ) dopo l’articolo 17 è inserito il seguente:
«17-bis. Fatto salvo quanto previsto dagli articoli 21 e 27, il trattamento dei dati giudiziari è altresì consentito quando è effettuato in attuazione di protocolli d’intesa per la prevenzione e il contrasto dei fenomeni di criminalità organizzata stipulati con il Ministero dell’interno o con i suoi uffici periferici di cui all’articolo 15, comma 2, del decreto legislativo 30 luglio 1999, n. 300, che specificano la tipologia dei dati trattati e delle operazioni eseguibili.».
b) all’articolo 34 sono soppressi la lettera g) del comma 1 e il comma 1-bis;
c ) nel disciplinare tecnico in materia di misure minime di sicurezza di cui all’allegato B sono soppressi i paragrafi da 19 a 19.8 e 26.
Quanto ai casi di esenzione dall’obbligo del consenso per il trattamento dei dati comuni e sensibili… conosco perfettamente la normativa vigente. La ringrazio lo stesso.
PS Sul D.L. del 27/1/2012 ho già scritto un altro thread pubblicato proprio oggi, dal titolo: “E’ morto il DPS”. Buona lettura.