assoitaliangroup.eu - ADEMPIMENTI PRIVACY

ADEMPIMENTI PRIVACY

DEROGHE AGLI ADEMPIMENTI SULLA PRIVACY

Il T.U. sulla Privacy prescrive adempimenti obbligatori, primo fra tutti la predisposizione del documento programmatico della sicurezza (D.P.S.).

Vi sono tuttavia degli esoneri in presenza di certi requisiti.

Con l'art. 29 del decreto legge n.112 del 25/06/2008, convertito in legge 6 agosto 2008 n. 133, sono state introdotte ulteriori misure di semplificazione destinate ai soggetti che trattano esclusivamente dati personali non sensibili, quando gli unici dati sensibili di cui sono in possesso sono quelli relativi allo stato di salute e di malattia dei propri dipendenti o collaboratori, senza indicazione della relativa diagnosi, oppure all'adesione ad organizzazioni sindacali o a carattere sindacale. Queste misure, che in pratica interessano una larga fetta di piccole e medie imprese e datori di lavoro, sono inserite in un nuovo comma (1-bis) dell'art. 34 del codice della privacy (D. Lgs. 196/2003).

La principale novità è data dall'abolizione dell'obbligo di tenere un aggiornato documento programmatico della sicurezza (D.P.S.) e dalla sua sostituzione con una autocertificazione, resa ai sensi dell'art. 47 del D.P.R. 445/2000, con la quale il titolare dovrà dichiarare di:

1. trattare generalmente solo dati personali non sensibili;

2. essere in possesso dei soli dati sensibili previsti;

3. trattare, comunque, questi ultimi nell'osservanza delle misura di sicurezza previste dal codice e dall'allegato B.

A scanso di equivoci e di pericolose sottovalutazioni è bene ribadire che:

- l'obbligo del D.P.S. decade soltanto se risultano trattati dati sensibili della stessa specie di quella prevista, mentre in presenza anche di un solo altro dato sensibile di natura differente (ad es. quelli relativi all'adesione a partiti politici, organizzazioni di carattere religioso, ecc.) tutto rimane come prima;

- non viene meno l'obbligo di applicare le altre misure di sicurezza previste;

- l'autocertificazione non è un semplice adempimento burocratico, poichè in caso di false attestazioni (ad es. sulla natura dei dati trattati e/o sull'osservanza delle misure di sicurezza) comporta una responsabilità da parte del titolare dei dati.

Lo stesso decreto prevede che, entro due mesi dall'entrata in vigore della legge di conversione, sarà aggiornato il disciplinare tecnico del codice della privacy in modo da prevedere delle misure semplificate per la redazione del D.P.S., in favore di coloro che trattano dati personali per le sole finalità amministrative e contabili. Complessivamente queste ulteriori misure si possono quindi già ricollegare alle semplificazioni per i trattamenti con finalità amministrative e contabili definite recentemente dal garante.

Infine, per concludere, il decreto contiene anche la seguente modifica del comma 2° dell'art. 38 del codice della privacy (modalità di notifica): la notificazione è validamente effettuata solo se è trasmessa attraverso il sito del Garante, utilizzando l'apposito modello, che contiene la richiesta di fornire tutte e soltanto le seguenti informazioni:

1. le coordinate identificative del titolare del trattamento e, eventualmente, del suo rappresentante, nonchè di un responsabile del trattamento se designato;

2. la o le finalità del trattamento;

3. una descrizione della o delle categorie di persone interessate e dei dati o delle categorie di dati relative alle medesime;

4. i destinatari o le categorie di destinatari a cui i dati possono essere comunicati;

5. i trasferimenti di dati previsti verso paesi terzi;

6. una descrizione generale che permetta di valutare in via preliminare l'adeguatezza delle misure adottate per garantire la sicurezza del trattamento.

ULTERIORI AGEVOLAZIONI

Sulla base di una comune esigenza avvertita dagli operatori, il Garante della privacy è tornato a pronunciarsi sul tema delle possibili misure di semplificazione del trattamento dei dati personali da parte delle piccole e medie imprese, sia pubbliche che private, dei liberi professionisti e degli artigiani. Dopo una fase istruttoria, dalla quale sono emerse alcune evidenti distorsioni burocratiche nell'applicazione del codice della privacy, l'autorità ha ritenuto di emettere un apposito provvedimento nel quale sono state individuate soluzioni concrete per agevolare ulteriormente l'ordinaria attività di gestione amministrativa e contabile, in particolare per i casi in cui i dati trattati non sono di carattere sensibile o giudiziario. Le misure proposte riguardano soprattutto l'informativa, in relazione alla quale i soggetti destinatari sono invitati a:

- fornire agli interessati un unica informativa in cui, con linguaggio semplice e senza inutili ripetizioni o frammentazioni, venga effettuata una ricostruzione dell'insieme dei trattamenti, con l'indicazione delle informazioni essenziali nell'ambito della lealtà e correttezza;

- redigere, se possibile, una prima informativa breve in cui si chiariscono sinteticamente le caratteristiche essenziali del trattamento (tale informativa può essere realizzata sfruttando gli spazi bianchi normalmente presenti nel materiale cartaceo e nella corrispondenza)

- prevedere una informativa più articolata richiamabile da quella breve e disponibile, agevolmente e senza oneri, per gli interessati in luoghi e con modalità accessibili anche con strumenti informatici e telematici;

- prevedere invece una informativa specifica quando il trattamento ha caratteristiche particolari.

Dal punto di vista del consenso degli interessati, il Garante ribadisce che esso non è necessario nel caso in cui il trattamento dei dati è svolto, anche in relazione all'adempimento di obblighi normativi, precontrattuali o contrattuali, per finalità amministrative e contabili o quando i dati sono estratti da registri pubblici o sono relativi allo svolgimento di attività economiche o trattati da un soggetto pubblico. Un particolare bilanciamento degli interessi si attua, nel caso della vendita di prodotti o servizi, per il riutilizzo, senza consenso, del recapito di posta cartacea dell'interessato per finalità promozionali, di comunicazione commerciale o di ricerche, purchè vi siano le condizioni già previste dall'art. 130 comma 4 del codice, con riferimento alla posta elettronica. Alle competenti autorità di governo è stata infine segnalata l'opportunità di modificare il codice nella parte relativa alla disciplina delle misure minime di sicurezza e al documento programmatico, in modo di bilanciare le necessarie cautele di sicurezza dei dati e dei sistemi con l'esigenza di adattarle alle attività che, specie presso piccole e medie imprese, liberi professionisti e artigiani, vengono svolte in relazione a finalità di gestione amministrativa e contabile. A tal fine è stata proposta l'aggiunta all'art. 33 di un ulteriore comma (1 bis) dal seguente contenuto:

Il Garante può individuare con proprio provvedimento modalità semplificate in ordine all'adozione delle misure minime di cui al comma 1, con riferimento ai trattamenti effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionsti e artigiani.

Se interessati a ricevere maggiori dettagli, compilando il Form relativo a RICHIESTA INFORMAZIONI è possibile avere, in tempi rapidissimi, una risposta di fattibilità comprendenti le nostre migliori condizioni.