CONFINDUSTRIA VERONA
Verona, 13 Novembre 2008
PRIVACY IN AZIENDA: LE ULTIME
SEMPLIFICAZIONI.
Prof. Avv. Alessandro del Ninno
Responsabile del Dipartimento di Information & Communication Technology
STUDIO LEGALE TONUCCI & PARTNERS
www.tonucci.it
[email protected]
Legge 6 agosto 2008, n. 133
Conversione in legge, con modificazioni, del decretolegge 25 giugno 2008, n. 112, recante disposizioni
urgenti per lo sviluppo economico, la semplificazione,
la competitività, la stabilizzazione della finanza
pubblica e la perequazione tributaria
(pubblicata nella Gazzetta Ufficiale n. 195 del 21 agosto 2008 - Suppl.
Ordinario n. 196)
ART. 29
(Trattamento dei dati personali)
SEMPLIFICAZIONI IN MATERIA DI MISURE MINIME DI
SICUREZZA
Per i soggetti che:
trattano soltanto dati personali non sensibili e che trattano come
unici dati sensibili
1) quelli costituiti dallo stato di salute o malattia dei propri
dipendenti e collaboratori anche a progetto, senza indicazione
della relativa diagnosi,
2) quelli costituiti dall'adesione ad organizzazioni sindacali o
a carattere sindacale;
la tenuta di un aggiornato documento programmatico sulla
sicurezza
E’ SOSTITUITA
dall'obbligo di autocertificazione, resa dal titolare del trattamento
ai sensi dell'articolo 47 del testo unico di cui al decreto del
Presidente della Repubblica 28 dicembre 2000, n. 445.
CONTENUTO DELL’AUTOCERTIFICAZIONE
Il titolare del trattamento dichiara di trattare soltanto tali dati in
osservanza delle altre misure di sicurezza prescritte.
L’autocertificazione
è
un
documento
che
deve
essere conservato dall’azienda e rispetto al quale non è
richiesta alcuna data certa.
Art. 76 d.p.r.445/2000:
Chiunque rilascia dichiarazioni mendaci, forma atti falsi o ne fa
uso nei casi previsti e punito ai sensi del codice penale e delle
leggi speciali in materia.
L'esibizione di un atto contenente dati non più rispondenti a
verità equivale ad uso di atto falso.
Le dichiarazioni sostitutive sono considerate come fatte a
pubblico ufficiale.
TRATTAMENTI CHE CONFIGURANO ANCORA L’OBBLIGO DI
STESURA DEL DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA: CONSIDERAZIONI GENERALI
La “semplificazione” si applica a “dipendenti” e
“collaboratori, anche a progetto”.
Pertanto il trattamento di dati relativi alla sola salute di
tali soggetti (ivi inclusi i dati sulla idoneità ex decreto
81/2008) autorizza il titolare a rilasciare la semplice
autocertificazione. Il puntuale riferimento alle due
categorie dei dipendenti e dei collaboratori – dal punto
di vista sistematico – comporta che i trattamenti di dati
relativi alla salute di lavoratori autonomi, agenti,
rappresentanti, associati, soci lavoratori ecc.,
obbligano comunque il titolare a redigere il
DPS
TRATTAMENTI CHE CONFIGURANO ANCORA L’OBBLIGO DI
STESURA DEL DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA: CONSIDERAZIONI GENERALI
Nozione di salute/malattia.
La formulazione individuata dall’art. 29 del decreto è molto ampia
perché, oltre a riferirsi alla condizione di malattia del dipendente,
contiene il termine «stato di salute» che comprende una
varietà di situazioni legate ad esempio a:
a) infortunio del lavoratore;
b) malattia antitubercolare;
c) stato di handicap;
d) condizioni psicofisiche legate all’osservanza delle norme sulla
sicurezza sul lavoro oppure allo svolgimento di determinate
mansioni che richiedono l’idoneità fisica del lavoratore (ad
esempio per il possesso del porto d’armi per le guardie giurate);
TRATTAMENTI CHE CONFIGURANO ANCORA L’OBBLIGO DI
STESURA DEL DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA: CONSIDERAZIONI GENERALI
e) maternità della lavoratrice;
f) fruizione di permessi per sottoporsi a terapie o cure.
In tutti i precedenti casi nei quali il dato «salute» è trattato senza
indicazione della diagnosi, cioè senza che sia indicata la
patologia specifica cui soffre il lavoratore, si può fare ricorso
all’autocertificazione, mentre nel caso contrario occorre
redigere il DPS.
Ad esempio se il datore di lavoro, a seguito di visita da parte del
medico competente, non può adibire il lavoratore a mansioni di
centralino perché quest’ultimo soffre di una malattia alle
vie
uditive,
essendo
a
conoscenza
della
diagnosi,
qualora trattasse ossia archiviasse elettronicamente tale dato,
sarebbe necessario compilare e aggiornare il DPS.
CONSIDERAZIONI CONCLUSIVE SU
AUTOCERTIFICAZIONE
Rapporto tra autocertificazione e successivi trattamenti esclusi
dalla semplificazione
Il datore di lavoro è esonerato dal DPS,
rilascia l’autocertificazione, ma successivamente
inizia a trattare altri dati sensibili esclusi dalla deroga
(ad
esempio,
relativi
all’appartenenza
a
organizzazioni politiche o a confessioni religiose): in
questo caso viene meno la condizione di esonero e
ritorna l’obbligo di redigere da subito il DPS.
CONSIDERAZIONI CONCLUSIVE SU AUTOCERTIFICAZIONE
Aspetti sanzionatori
Va ricordato che l’art. 34 all’interno del quale il Dl n.
112/2008 ha inserito il comma 1bis, non è espressamente
sanzionato dal Codice della privacy.
Tuttavia, deve
ritenersi che la sanzione riferita all’art. 33 del Codice
includa anche l’art. 34 che obbliga il titolare dei dati
a rispettare le misure minime tra cui quelle di redigere il
DPS. Se ritenessimo punibile la mancata redazione del
DPS
per
chi
ne
è
tenuto,
ma
non
l’omessa autocertificazione renderemmo la norma
inefficace. Pertanto, anche l’omessa autocertificazione va
ritenuta soggetta alla applicabilità dell’art. 169 del Codice
della privacy, che prevede la sanzione dell’arresto sino a
due anni o l’ammenda da diecimila euro a cinquantamila
euro.
LE ALTRE MISURE DI SEMPLIFICAZIONI IN MATERIA DI MISURE
DI SICUREZZA
In relazione:
1.ai trattamenti di dati sensibili per
l’autocertificazione;
i quali
è
prevista
2.ai (diversi) trattamenti comunque effettuati per correnti finalità
amministrative e contabili, in particolare presso piccole e medie
imprese, liberi professionisti e artigiani;
il Garante (e non più il Ministero), sentito il Ministro per la
semplificazione normativa, individua con proprio provvedimento
(da adottarsi entro due mesi dalla legge di conversione), da
aggiornare periodicamente, modalità semplificate di applicazione
del disciplinare tecnico di cui all'Allegato B) del Codice della
privacy in ordine all'adozione delle misure minime di sicurezza.
LE ALTRE MISURE DI SEMPLIFICAZIONI IN MATERIA DI MISURE
DI SICUREZZA
Ne deriva che:
a) il provvedimento di semplificazione che il Garante dovrà
adottare, oltre ad avere una portata limitata agli ambiti disegnati
dalla norma, non si concreterà in un aggiornamento formale del
disciplinare tecnico (atteso che il Garante non ha il potere di
modificare quanto a suo tempo stabilito con il decreto
ministeriale mediante il quale venne adottato l’allegato B).
Stiamo per assistere, dunque, all’ennesima stratificazione, per
cui al disposto del disciplinare tecnico verrà affiancato un
provvedimento sì, semplificatorio, ma di diversa natura ed
adottato in una diversa sede.
LE ALTRE MISURE DI SEMPLIFICAZIONI IN MATERIA DI MISURE
DI SICUREZZA
b) almeno per ora, alla luce di tutto ciò, non è prevista alcuna
generale e formale modifica del disciplinare tecnico.
Da notare, però, che il giorno in cui si deciderà di dare corso
“all’adeguamento” comunque previsto dall’art. 36 del Codice
della privacy, il decreto del Ministero di Giustizia dovrà esser
adottato di concerto non solo con il Ministero dell’Innovazione,
ma anche, in virtù della modifica dell’art. 36 del codice apportata
sul punto dalla legge di conversione, anche con il Ministero della
semplificazione normativa.
LE SEMPLIFICAZIONI IN MATERIA DI NOTIFICAZIONE DEI
TRATTAMENTI AL GARANTE
Art. 29 d.l. 112/2008 (l. 133/2008)
« 2. La notificazione e' validamente effettuata solo se e' trasmessa
attraverso il sito del Garante, utilizzando l'apposito modello, che
contiene la richiesta di fornire tutte e soltanto le seguenti informazioni:
a) le coordinate identificative del titolare del trattamento e,
eventualmente, del suo rappresentante, nonche' le modalità per
individuare il responsabile del trattamento se designato;
b) la o le finalità del trattamento;
c) una descrizione della o delle categorie di persone interessate e
dei dati o delle categorie di dati relativi alle medesime;
d) i destinatari o le categorie di destinatari a cui i dati possono essere
comunicati;
e) i trasferimenti di dati previsti
verso Paesi terzi;
f) una descrizione generale che permetta di valutare in via preliminare
l'adeguatezza delle misure adottate per garantire la sicurezza del
trattamento.».
LE SEMPLIFICAZIONI IN MATERIA DI NOTIFICAZIONE DEI
TRATTAMENTI AL GARANTE
La semplificazione relativa alla nuova notifica (nei casi in cui
essa sia obbligatoria ai sensi dell’art. 37 del Codice della privacy
e dei provvedimenti esplicativi del Garante del 31 Marzo 2004, 23
Aprile 2004 e 26 Aprile 2004) riguardano:
a) il superamento dell’uso della firma digitale;
b) l’adozione (entro due mesi dalla legge di conversione) di un
nuovo formato del modello di notifica semplificato (attesa
l’emanazione da parte dell’Autorità Garante) ;
c) Il chiarimento che nel nuovo modello non dovrà
necessariamente (come sembrava esser previsto in precedenza)
esser indicato il responsabile del trattamento, essendo possibile
limitarsi ad indicare “le modalità per individuare il responsabile
del trattamento, se designato”.
LE SEMPLIFICAZIONI IN MATERIA DI TRASFERIMENTO
ALL’ESTERO DEI DATI
Codice della privacy Art. 44. (Altri trasferimenti consentiti)
1. Il trasferimento di dati personali oggetto di trattamento, diretto verso un
Paese non appartenente all'Unione europea, è altresì consentito quando è
autorizzato dal Garante sulla base di adeguate garanzie per i diritti
dell'interessato:
a) individuate dal Garante anche in relazione a garanzie prestate con un
contratto o mediante regole di condotta esistenti nell'ambito di società
appartenenti a un medesimo gruppo. L'interessato può far valere i propri diritti
nel territorio dello Stato, in base al presente codice, anche in ordine
all'inosservanza delle garanzie medesime;
b) individuate con le decisioni previste dagli articoli 25, paragrafo 6, e 26,
paragrafo 4, della direttiva 95/46/CE del Parlamento europeo e del Consiglio,
del 24 ottobre 1995, con le quali la Commissione europea constata che un
Paese non appartenente all'Unione europea garantisce un livello di
protezione adeguato o che alcune clausole contrattuali offrono garanzie
sufficienti.
LE SEMPLIFICAZIONI IN MATERIA DI TRASFERIMENTO
ALL’ESTERO DEI DATI
L’art. 29 ha introdotto una nuova, importante ipotesi intesa a legittimare
il trasferimento di dati personali nei paesi extra UE: oltre agli altri casi
già previsti dagli artt. 43 e 44 del Codice della privacy, e sull’onda delle
esigenze più volte rappresentate da molte multinazionali (e di quanto va
accadendo in altri paesi, ove il tema è stato già affrontato), è stata infatti
introdotta un ulteriore ipotesi di autorizzazione da parte del Garante
intesa a legittimare la circolazione transfrontaliera dei dati, consistente
nella previa verifica della corretta adozione di “regole di condotta
esistenti nell’ambito di società appartenenti ad un medesimo gruppo”:
sarà quindi sufficiente la articolazione di corrette corporate rules
relativamente al trattamento dei dati da parte di tutte le società facenti
parte del medesimo gruppo imprenditoriale, per consentire la libera
circolazione infra-gruppo dei predetti dati, anche con riguardo a unità
operanti in paesi non aderenti all’Unione europea. Tutto ciò, fermo il
diritto dell’interessato di “far valere i propri diritti nel territorio dello
Stato, in base al presente codice, anche in ordine alla inosservanza
delle garanzie medesime”.
SEMPLIFICAZIONI DI TALUNI ADEMPIMENTI IN AMBITO
PUBBLICO E PRIVATO RISPETTO A TRATTAMENTI PER
FINALITÀ AMMINISTRATIVE E CONTABILI - 19 GIUGNO
2008
Con il provvedimento di semplificazione del 19 Giugno
2008 il Garante ha individuato soluzioni concrete volte ad
agevolare l'ordinaria attività di gestione amministrativa e
contabile, in modo particolare rispetto ai casi in cui non
sono trattati dati di carattere sensibile o giudiziario. Tali
finalità sono perseguite mediante nuove linee guidainterpretative della normativa vigente e sono individuate
alcune modalità innovative per semplificare taluni
adempimenti, in modo particolare per l'informativa agli
interessati e il consenso.
SEMPLIFICAZIONI DI TALUNI ADEMPIMENTI IN AMBITO
PUBBLICO E PRIVATO RISPETTO A TRATTAMENTI PER
FINALITÀ AMMINISTRATIVE E CONTABILI - 19 GIUGNO
2008
I presupposti dell’adozione del provvedimento in esame possono
riassumersi come segue:
a) alcune modalità applicative, seguite soprattutto presso piccole
imprese, liberi professionisti e artigiani, sono ancora basate su
approcci prettamente burocratici e di ordine puramente formale.
Istituti posti a garanzia degli interessati vengono banalizzati in
contrasto con lo spirito del Codice che intende assicurare una
protezione elevata dei diritti e delle libertà fondamentali "nel
rispetto dei princìpi di semplificazione, armonizzazione ed
efficacia" (art. 2, comma 2). Da tali prassi conseguono
adempimenti superflui o ripetuti inutilmente, talvolta anche per
effetto di erronee valutazioni fornite in sede di consulenza, con
oneri organizzativi da cui non deriva un reale valore aggiunto ai
fini della correttezza e della trasparenza del trattamento e che gli
interessati avvertono con disinteresse o fastidio;
SEMPLIFICAZIONI DI TALUNI ADEMPIMENTI IN AMBITO
PUBBLICO E PRIVATO RISPETTO A TRATTAMENTI PER
FINALITÀ AMMINISTRATIVE E CONTABILI - 19 GIUGNO
2008
b) è possibile apportare ulteriori semplificazioni (in particolare
per agevolare la corrente attività gestionale di organismi pubblici
e privati di ridotte dimensioni), in aggiunta a quelle già introdotte
per legge o da questa Autorità e in armonia con la disciplina
complessiva, anche comunitaria, della materia, salvaguardando i
diritti e le libertà fondamentali dei cittadini;
c) la protezione dei dati personali può rappresentare una risorsa,
anche per piccole e medie imprese, rendere più efficiente
l'attività gestionale e incrementare la fiducia degli interessati.
SEMPLIFICAZIONI DI TALUNI ADEMPIMENTI IN AMBITO
PUBBLICO E PRIVATO RISPETTO A TRATTAMENTI PER
FINALITÀ AMMINISTRATIVE E CONTABILI - 19 GIUGNO
2008
INFORMATIVA
Tutti i titolari del trattamento in ambito privato e pubblico, in particolare le
piccole e medie imprese, liberi professionisti, artigiani, possono fruire delle
seguenti indicazioni per semplificare l'informativa rispetto allo svolgimento di
correnti finalità amministrative e contabili, anche in relazione all'adempimento di
obblighi contrattuali, precontrattuali o normativi. Detti soggetti possono:
a) fornire un'unica informativa per il complesso dei trattamenti, anziché per
singoli aspetti del rapporto con gli interessati;
b) fornire a questi ultimi una ricostruzione organica dei trattamenti e con
linguaggio semplice, senza frammentarla o reiterarla inutilmente;
c) indicare le informazioni essenziali in un quadro adeguato di lealtà e
correttezza;
d) redigere, per quanto possibile, una prima informativa breve. All'interessato,
anche oralmente, andrebbero indicate sinteticamente alcune prime notizie
chiarendo subito, con immediatezza, le principali caratteristiche del trattamento.
SEMPLIFICAZIONI DI TALUNI ADEMPIMENTI IN AMBITO
PUBBLICO E PRIVATO RISPETTO A TRATTAMENTI PER
FINALITÀ AMMINISTRATIVE E CONTABILI - 19 GIUGNO
2008
INFORMATIVA
In linea di massima l'informativa breve, quando è scritta, può avere la
seguente formulazione:
"I SUOI DATI PERSONALI
Utilizziamo -anche tramite collaboratori esterni- i dati che la riguardano
esclusivamente per nostre finalità amministrative e contabili, anche quando li
comunichiamo a terzi. Informazioni dettagliate, anche in ordine al suo diritto di
accesso e agli altri suoi diritti, sono riportate su...";
e) per l'informativa, specie per quella breve, si possono utilizzare gli spazi utili
nel materiale cartaceo e nella corrispondenza che si impiegano già,
ordinariamente, per finalità amministrative e contabili;
SEMPLIFICAZIONI DI TALUNI ADEMPIMENTI IN AMBITO
PUBBLICO E PRIVATO RISPETTO A TRATTAMENTI PER
FINALITÀ AMMINISTRATIVE E CONTABILI - 19 GIUGNO
2008
INFORMATIVA
f) l'informativa breve può rinviare a un testo più articolato, disponibile
agevolmente senza oneri per gli interessati, in luoghi e con modalità
facilmente accessibili anche con strumenti informatici e telematici (in
particolare, tramite reti Intranet o siti Internet, affissioni in bacheche o locali,
avvisi e cartelli agli sportelli per la clientela, messaggi preregistrati disponibili
digitando un numero telefonico gratuito).
Anche questa più ampia informativa deve essere improntata a correttezza,
tenendo conto di possibili modifiche del trattamento, ed essere basata su
espressioni sintetiche, chiare e comprensibili. Le notizie da indicare per legge
(art. 13, comma 1) devono essere aggiornate, specificando la data dell'ultimo
aggiornamento;
SEMPLIFICAZIONI DI TALUNI ADEMPIMENTI IN AMBITO
PUBBLICO E PRIVATO RISPETTO A TRATTAMENTI PER
FINALITÀ AMMINISTRATIVE E CONTABILI - 19 GIUGNO
2008
INFORMATIVA
g) è possibile non inserire nell'informativa più articolata gli elementi noti
all'interessato. E' opportuno omettere riferimenti meramente burocratici o
circostanze ovvie, per esempio quando alcune informazioni, compresi gli
estremi identificativi del titolare, risultano da altre parti del documento in cui è
presente l'informativa. Vanno utilizzate espressioni efficaci, anche se
sintetiche, anche per quanto riguarda i diritti degli interessati e l'organismo o
soggetto al quale rivolgersi per esercitarli. Se è prevista la raccolta di dati
presso terzi è possibile formulare una sola informativa per i dati forniti
direttamente dall'interessato e per quelli che saranno acquisiti presso terzi.
Per questi ultimi dati, l'informativa può non essere fornita quando vi è un
obbligo normativo di trattarli;
SEMPLIFICAZIONI DI TALUNI ADEMPIMENTI IN AMBITO
PUBBLICO E PRIVATO RISPETTO A TRATTAMENTI PER
FINALITÀ AMMINISTRATIVE E CONTABILI - 19 GIUGNO
2008
INFORMATIVA
h) è opportuno che l'informativa più articolata sia basata su uno schema
tendenzialmente uniforme per il settore di attività del titolare del trattamento;
i) è invece necessario fornire un'informativa specifica o ad hoc quando il
trattamento ha caratteristiche del tutto particolari perché coinvolge, ad
esempio, peculiari informazioni (es. dati genetici) o prevede forme inusuali di
utilizzazione di dati, specie sensibili, rispetto alle ordinarie esigenze
amministrative e contabili, o può comportare rischi specifici per gli interessati
(ad esempio, rispetto a determinate forme di uso di dati biometrici o di
controllo delle attività dei lavoratori).
SEMPLIFICAZIONI DI TALUNI ADEMPIMENTI IN AMBITO
PUBBLICO E PRIVATO RISPETTO A TRATTAMENTI PER
FINALITÀ AMMINISTRATIVE E CONTABILI - 19 GIUGNO
2008
CONSENSO
Tutti i titolari del trattamento pubblici e privati non devono
chiedere il consenso degli interessati quando il trattamento dei
dati è svolto, anche in relazione all'adempimento di obblighi
contrattuali, precontrattuali o normativi, esclusivamente per
correnti finalità amministrative e contabili, nonché quando i dati
provengono da pubblici registri ed elenchi pubblici conoscibili
da chiunque, o sono relativi allo svolgimento di attività
economiche o sono trattati da un soggetto pubblico
SEMPLIFICAZIONI DI TALUNI ADEMPIMENTI IN AMBITO
PUBBLICO E PRIVATO RISPETTO A TRATTAMENTI PER
FINALITÀ AMMINISTRATIVE E CONTABILI - 19 GIUGNO
2008
CONSENSO
I titolari del trattamento in ambito privato che hanno venduto un
prodotto o prestato un servizio, nel quadro del perseguimento di
ordinarie finalità amministrative e contabili, possono utilizzare
senza il consenso i recapiti (oltre che di posta elettronica come
già previsto per legge) di posta cartacea forniti dall'interessato,
ai fini dell'invio diretto di proprio materiale pubblicitario o di
propria vendita diretta o per il compimento di proprie ricerche di
mercato o di comunicazione commerciale. Ciò, rispettando
anche le garanzie previste per le attività di profilazione degli
interessati, a condizione che:
SEMPLIFICAZIONI DI TALUNI ADEMPIMENTI IN AMBITO
PUBBLICO E PRIVATO RISPETTO A TRATTAMENTI PER
FINALITÀ AMMINISTRATIVE E CONTABILI - 19 GIUGNO
2008
CONSENSO
a) tale attività promozionale riguardi beni e servizi del medesimo
titolare e analoghi a quelli oggetto della vendita;
b) l'interessato, al momento della raccolta e in occasione dell'invio
di ogni comunicazione effettuata per le menzionate finalità, sia
informato della possibilità di opporsi in ogni momento al
trattamento, in maniera agevole e gratuitamente, anche mediante
l'utilizzo della posta elettronica o del fax o del telefono e di ottenere
un immediato riscontro che confermi l'interruzione di tale
trattamento;
c) l'interessato medesimo, così adeguatamente informato già prima
dell'instaurazione del rapporto, non si opponga a tale uso,
inizialmente o in occasione di successive comunicazioni.
Prof. Avv. Alessandro del Ninno
Responsabile del Dipartimento di Information
& Communication Technology
Studio Legale Tonucci & Partners
Via Principessa Clotilde n. 7 00196 Roma
e-mail: [email protected]